В начале сентября 2020 года специалисты ClearSky обнаружили уникальный вредоносный RTF-файл, загруженный на VirusTotal из Беларуси. Имя файла и его содержание написаны на русском языке и представляют собой множество форм для заполнения, касающихся лиц, обвиняемых в различных преступлениях.
RTF-файл выполняет произвольный код с C&C-сервера. Выполнение кода может быть использовано для дальнейшей загрузки вредоносных программ, кражи данных и выполнения различных злонамеренных действий. В этом случае файл RTF загружает эксплоит для уязвимости в Internet Explorer ( CVE-2020-0968 ). Эксплоит загружает полезную нагрузку, однако файл зашифрован и его необходимо расшифровать для выполнения. По словам экспертов, злоумышленники начали активно эксплуатировать данную уязвимость в атаках.
RTF-файл открывает Microsoft Word, который позже выполняет произвольный код по выбору злоумышленников — в этом случае программа получает доступ к контролируемому злоумышленником серверу через URL Moniker, а затем загружает и выполняет HTM-файл. Благодаря функциональности URL Moniker, файл открывается в фоновом режиме Internet Explorer, даже если данный браузер не выбран пользователем по умолчанию. Если эксплоит Internet Explorer запускается успешно, он загрузит дополнительный файл с сервера — зашифрованный DLL-файл «a1a.dll.». Как обнаружили специалисты, ShellCode успешно расшифровывает и запускает DLL.