Киберпреступники используют обычную безобидную команду Windows Finger для загрузки и установки вредоносного бэкдора на устройства жертв.
Команда Finger — созданная в операционных системах Linux/Unix утилита, которая позволяет локально получать список пользователей на удаленном компьютере или информацию о конкретном удаленном пользователе. Помимо Linux, в Windows есть команда finger.exe, которая выполняет те же функции. Для выполнения команды Finger пользователю необходимо ввести finger [user] @ [remote_host].
Исследователь безопасности Кирк Сэйр (Kirk Sayre) обнаружил фишинговую кампанию, в которой использовалась команда Finger для загрузки бэкдора MineBridge. В ходе кампании злоумышленники отправляют фишинговые письма с вредоносными документами Word, замаскированные под резюме от соискателя. Когда пользователь нажимает кнопки «Разрешить редактирование» или «Разрешить содержимое», запускается защищенный паролем макрос для загрузки вредоносного ПО MineBridge.
Макрос использует команду Finger для загрузки сертификата в кодировке Base64 с удаленного сервера. Сертификат представляет собой исполняемый файл вредоносной программы-загрузчика в кодировке base64. Он декодируется с помощью команды certutil.exe, сохраняется как% AppData%\vUCooUr.exe, а затем выполняется.
После запуска вредонос загружает исполняемый файл TeamViewer и использует перехват DLL для загрузки вредоносной библиотеки MineBridge. После загрузки MineBridge удаленные злоумышленники получают полный доступ к компьютеру и могут подслушивать жертву через микрофон зараженного устройства, а также выполнять другие вредоносные действия.