В ходе анализа недавней атаки кибершпионов XDSpy, направленной на российскую и приднестровскую компании, был обнаружен еще один инструмент, получивший название XDSpy.CHMDownloader.
Напомним, что 26 июля злоумышленниками было отправлено письмо с темой: “Договоренности, по поручению начальника”. В этот же день на платформу VirusTotal были загружены RAR-архивы через Web-интерфейс из России и Молдовы, предположительно, организации из этих стран и были целями рассылок.RAR-архив содержит CHM-файл (HTMLHelp (Microsoft Compiled HTML Help)).
Например, архив “dogovorennosti_19-07-2024.rar” содержит файл “dogovorennosti_19-07-2024.chm”:CHM-файл является вредоносной программой класса загрузчик (downloader), классифицируемый нами как XDSpy.CHMDownloader.В CHM-файле находятся служебные файлы, HTM-файл, содержащий вредоносный код, а также файл-приманка в виде изображения JPG.
Читать на habr.com