Пользователи из Вьетнама, Индии, Китая, Тайваня и, возможно, ряда других стран стали жертвами массированной атаки, в рамках которой мошенники рассылают вредоносные .doc-файлы, эксплуатирующие уязвимости и операционной системе Windows и пакете Word для установки в компьютер программы-бэкдора. При помощи бэкдора мошенники похищают различную информацию с компьютеров.
Мошенники используют классическую схему с рассылкой фишинговых писем, к которым приложены вредоносные файлы, атакующие Word.
Один из таких документов был выявлен компанией Rapid7, известным производителем пентестеров. Он был написан на вьетнамском и предлагал образовательные услуги, так как был ориентирован на вьетнамские академические круги. Второй документ был написан на английском и в нем обсуждалась телеком-инфраструктура в Индии, в частности GSM-покрытие в Калькутте. Этот файл был ориентирован на работников индийских операторов связи.
Оба файла при открытии использовали технику исполнения удаленного кода и пытались вызвать уязвимости CVE-2012-0158 и CVE-2012-1856, связанные с Microsoft Office 2003, 2007 и 2010. Хотя сами эти уязвимости были устранены еще в прошлом году, далеко не все пользователи обновили свои приложения. Отметим, что эти же уязвимости на днях использовали кибершпионские кампании NetTraveler и HangOver.
В случае с последними атаками злоумышленники подселяли на компьютеры пользователей вредонос KeyBoy, устанавливающий клавиатурных шпионов и ворующий данные из Internet Explorer и Mozilla Firefox. Также этот вредонос может открывать фоновый Windows Shell и позволяет мошенникам выполнять удаленные команды на зараженном компьютере.
В Rapid7 говорят, что атакующие были ориентированы на конкретные страны и хотя сама по себе вредоносная кампания не отличается сложностью, к выборам целей хакеры подошли детально.
Источник: CyberSecurity
|
