Виявлено масову фішингову кампанію, яка доставляє трояни Trickbot і Emotet через VBA макроси в Word-документах.

Як це працює?

-Фішинговий документ із прихованим текстом (білим шрифтом) містить VBA макрос, який активується при закритті файлу.
-Макрос витягує base64-код із тексту, зберігає його у файли (.xls, .doc), декодує через Certutil у DLL із розширенням .pdf.
-DLL-завантажувач (12 КБ) генерує директорію, завантажує Trickbot/Emotet із C2 (наприклад, 178.62.19[.]66) і виконує через Rundll32 або regsvr32.
-Використовується WMI для запуску процесів і затримка в 6 секунд для обходу аналізу.

Що загрожує? Банківське шахрайство, викрадення даних і компрометація мережі.

Як захиститися?

-Уникайте підозрілих документів і листів.
-Вимкніть макроси в Microsoft Word.
-Оновлюйте антивірусне ПЗ та слідкуйте за мережевою активністю.
-Перевіряйте підозрілі процеси (наприклад, Certutil, Rundll32).

Trickbot і Emotet удосконалюють методи доставки. Захищайте свої системи!