Компания ESET обнаружила троянскую программу, которая распространяется в письмах, имитирующих официальную рассылку Microsoft. Вредоносная кампания ориентирована на корпоративных пользователей.
Потенциальным жертвам направляются письма от лица сайта Microsoft Volume Licensing Service Center, информирующие о предоставлении адресату прав администратора для работы с корпоративными лицензиями. Для большей реалистичности письма отправляются с личным обращением на действующий рабочий адрес электронной почты.
Получателям поддельных писем предлагается перейти по ссылкам, которые ведут на сайты, размещенные на скомпрометированном сервере. Дизайн страниц вредоносных площадок имитирует оригинальный контент узла Microsoft VLSC. При переходе на ПК пользователей загружается троянец. Он поддерживает ряд технологий сокрытия вредоносной активности, в частности, самокопирование под другим именем файла, режим сна. Командный сервер вредоносного ПО расположен в анонимной сети Tor.