Исследователи из американской компании zScaler выяснили, что операторы трояна Kasidet (также известный, как Neutrino) распространяют свое детище, используя макросы Microsoft Office.

Вредоносные макросы Office распространяются под видом вложений в фишинговые письма. Так, за последние две недели активность вредоносной спам-кампании возросла в значительной мере. Помимо Kasidet, тот же VBA-дроппер загружает банковский троян Dridex.

Напомним, вредонос Kasidet известен еще с 2013 года. До недавнего времени использовался для осуществления DDoS-атак. А где-то с сентября 2015 года у вредоносного ПО появились функции хищения данных.

Новая версия Kasidet обладает более широкими возможностями. В частности вредонос способен:

  • похищать конфиденциальную информацию как из браузеров (перехватом API), так и из памяти PoS-систем;
  • собирать сведения о названии и версии системы, наличии антивируса и т.д.

Все похищенные данные троянская программа передает на C&C-серверы злоумышленников из списка, содержащегося в коде в виде зашифрованных URL.