Поддельная презентация в PowerPoint заражает PC трояном
Вирусные аналитики установили, что для внедрения вредоносной программы Win32/Rootkit.BlackEnergy использовалась уязвимость нулевого дня CVE-2014−4114. Уязвимы операционные системы Windows Vista, Windows 7, новейшие Windows 8 и 8.1, а также RT.
Жертвы получали по электронной почте подозрительное письмо с вложением — презентацией в формате PowerPoint, которая и содержала эксплойт. Открыв презентацию, пользователь видел текст на украинском языке, при этом в систему в фоновом режиме устанавливалось вредоносное ПО. Для этого эксплойт загружал с удаленного сервера исполняемый файл дроппера и .INF файл для его непосредственной установки.
«В августе мы уже наблюдали вредоносные кампании по распространению BlackEnergy. Тогда в текстах спам-писем упоминался конфликт на Украине, — говорит Роберт Липовски, вирусный аналитик ESET. — Подобные эксплойты известны как минимум с 2012 года, но прежде они не использовались так активно. Обнаружив их эксплуатацию in-the-wild, мы сообщили об этом Microsoft. Это произошло 2 сентября 2014 года, и сейчас корпорация Microsoft уже выпустила обновление, закрывающее эту уязвимость».
«Эксплуатация этой уязвимости не несет значительных накладных расходов для атакующих, поскольку не относится к типу memory-corruption или HeapOverflow. Атакующим не нужно разрабатывать специальные механизмы для обхода DEP и ASLR, что является достаточно трудоемким процессом. Можно сказать, что они используют своеобразную особенность Windows, которая присутствует, в том числе, в новейшей версии Windows 8.1», — комментирует Артем Баранов, ведущий вирусный аналитик ESET Russia.