Нашли и разобрали файл недавно задетекченный коллегой и товарищем https://t.me/qcakz/1639 файл на госзакупках.

В exif все чисто, Хешики:

MD5 (Invoice.xlsm) = 7c7810a88a362df9453eb2adf63c8f73

SHA256 (Invoice.xlsm) = dc948b5fe49705e0f8e790b378477bed6f458c682562d7ded67cbd0abb9ad433

Чистой воды макрос оказался.

Назначение: Скачивание и исполнение троянца Synaptics.exe, сохраненного как ~$cache1.exe

C2 (Command & Control) / источники загрузки:

https://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download

https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1

Обе линки загрузчика мертвые, но тем не менее, будьте бдительны и не открывайте подозрительные или не известные файлы.