В начале лета 2015 года специалисты зафиксировали повышенную активность семейства Spy.Agent.ORM. Программа распространялась с поддержкой комплекта эксплойтов сквозь скомпрометированный новостной портал rbc.ua и банковский сайт unicredit.ua, а также в фишинговых рассылках, ориентированных на сотрудников финансовых учреждений из России и Украины, а также Центрального банка Армении.
Пользователям рассылались извещения с вредоносными вложениями SCR-файлов или RTF-эксплойтов к уязвимостям Microsoft Office, вводя одну из заключительных – CVE-2015-1770.
Троян Win32/Spy.Agent.ORM выказывает штурмующим высланный доступ к компьютеру жертвы. Вредоносная программа подключается к ворочающему серверу и выполняет неодинаковые команды: сделать снимок экрана, получить список запущенных процессов, сконцентрировать информацию о системе, загрузить исполняемый файл и др.
На связь трояна Spy.Agent.ORM и Carbanak указывают одинакие фрагменты кода, какие встречаются в иных вредоносных программах группы: «фирменном» инструменте Win32/Spy.Sekur и бэкдоре для кражи настоящих карт с PoS-терминалов Win32/Wemosis, запримеченным в кибератаках на американские отели-казино.
Источник: ESET