Осторожно, вирусы в крипто группах Telegram

Уважаемые пользователи!

Имейте в виду, что в настоящее время мошенники и/или ваши скомпрометированные друзья могут прислать вам файл Excel с именем OKX Binance & Huobi VIP fee comparision.xls, который содержит несколько таблиц о структуре комиссий криптовалютных бирж. Данные в документе, вероятно, являются точными, чтобы повысить доверие к мошенникам. Этот зараженный файл Excel инициирует следующую серию действий:

-Вредоносный макрос в файле Excel злоупотребляет UserForm из VBA, чтобы замаскировать код и получить некоторые данные.

-Вредоносный макрос сбрасывает другой лист Excel, встроенный в форму, и выполняет его в невидимом режиме. Указанный лист Excel кодируется в base64 и забрасывается в папку C:\ProgramData\Microsoft Media\ с именем VSDB688.tmp.

-Файл VSDB688.tmp загружает PNG-файл, содержащий три исполняемых файла: легитимный файл Windows под названием logagent.exe, вредоносную версию DLL wsock32.dll и закодированный XOR бэкдор.

-Файл logagent.exe используется для боковой загрузки вредоносной библиотеки wsock32.dll, которая действует как DLL-прокси для легитимной библиотеки wsock32.dll. Вредоносный DLL-файл используется для загрузки и расшифровки XOR-кодированного бэкдора, который позволяет субъекту угрозы получить удаленный доступ к зараженной системе.

Будьте бдительны,

Команда BiXBiT.