Uwaga na nowe, zmasowane kampanie typu malspam, które krążą w polskiej sieci. Zaczynają się standardowo od maila o tytule “e-faktura 06.2020” i korzystają z zaspoofowanego adresu.
Załączniki zawierają szablon, który wymaga udzielenia zgody na włączenie makr ponieważ dokument został “utworzony w starszej wersji MS Office”.
“Włączenie treści” skutkuje instalacją złośliwego oprogramowania ZLoader (znanego również jako Terdot lub DELoader), który jest najnowszym wariantem z tej aktywnej od lat rodziny malware. Złośliwa biblioteka DLL zapisywana jest w folderze dokumentów ofiary i uruchamia się przy użyciu rundll32.exe. Krótko po uruchomieniu biblioteka DLL przenoszona jest do nowo utworzonego folderu w katalogu AppData\Roaming, gdzie jest utrzymywana przez Windows registry update.
Jak zawsze, tego rodzaju infekcje atakują przestarzałe, nie aktualizowane systemy. Programy antywirusowe powinny jednak zatrzymać te próby infekcji ZLoaderem.
Próby ataków na swoich klientów odnotowało już Orange, co opisuje na swoim blogu oraz DHL.
