МОСКВА, 31 июля. /ТАСС-Телеком/. Корпорация Symantec обнаружила нескольких целевых этак, использующих вредоносную программу Backdoor.Korplug, появившуюся в марте 2012 года, сообщает пресс-служба. Атака осуществляется путём отправки жертве электронного сообщения со специальным вредоносным вложением. Это давно известный сценарий, но Backdoor.Korplug использует интересную технику самозапуска, прикрываясь доверенным приложением.
Чаще всего по данному сценарию вредоносное ПО доставляется жертве в виде ZIP-архива с паролем или в виде документа Microsoft Office в расчёте на уязвимость Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158). Также известны случаи, когда злоумышленники использовали украденные из компаний легитимные сертификаты для придания большего доверия двоичному файлу. Korplug не использует украденные сертификаты, вместо этого он прикрывается подписанной легитимной программой, осуществляя самозапуск в рамках привилегированного процесса.
В случае типовой атаки вредоносный документ вкладывается в письмо и отправляется жертве. После открытия документа запускается эксплойт для уязвимости MSCOMCTL.OCX RCE, и в случае успеха на компьютер будет записана и запущена на исполнение основная часть вредоносной программы.
Чтобы обмануть пользователя, одновременно открывается безопасный документ, предупреждающий о невозможности открыть содержимое якобы из-за использования устаревшей версии. Однако если пользователь использует последнюю версию Microsoft Word и применил все обновления, предоставленные Microsoft, он будет защищен, и злоумышленник не сможет использовать эксплойт.
Symantec определяет эту вредоносную программу как Backdoor.Korplug, но её исходный код сложнее типичных бэкдоров, обычно используемых в подобных сценариях. Структура угрозы представляет собой единую среду, включающую несколько различных компонентов, каждый из которых выполняет определённую задачу. В их число также входят подключаемые модули перехвата ввода с клавиатуры и съёма информации с экрана.
Комментарии