16 Октября 2014

Злоумышленники используют новую уязвимость Windows для распространения трояна BlackEnergy

В поддельных презентациях PowerPoint распространяется эксплойт для Windows

Москва, 16 октября 2014 г. Специалисты международной антивирусной компании ESET (Словакия) опубликовали результаты исследования трояна BlackEnergy, который использовался для кражи данных корпоративных пользователей из Польши и Украины.

Вирусные аналитики ESET установили, что для внедрения вредоносной программы Win32/Rootkit.BlackEnergy использовалась уязвимость нулевого дня CVE-2014-4114. Уязвимы операционные системы Windows Vista, Windows 7, новейшие Windows 8 и 8.1, а также RT.

Жертвы получали по электронной почте подозрительное письмо с вложением – презентацией в формате PowerPoint, которая и содержала эксплойт. Открыв презентацию, пользователь видел текст на украинском языке, при этом в систему в фоновом режиме устанавливалось вредоносное ПО. Для этого эксплойт загружал с удаленного сервера исполняемый файл дроппера и .INF файл для его непосредственной установки.

«В августе мы уже наблюдали вредоносные кампании по распространению BlackEnergy. Тогда в текстах спам-писем упоминался конфликт на Украине, – говорит Роберт Липовски, вирусный аналитик ESET. – Подобные эксплойты известны как минимум с 2012 года, но прежде они не использовались так активно. Обнаружив их эксплуатацию in-the-wild, мы сообщили об этом в Microsoft. Это произошло 2 сентября 2014 года, и сейчас корпорация Microsoft уже выпустила обновление, закрывающее эту уязвимость».

Образец рассылки с вредоносным документом в приложении

«Эксплуатация этой уязвимости не несет значительных накладных расходов для атакующих, поскольку не относится к типу memory-corruption или HeapOverflow. Атакующим не нужно разрабатывать специальные механизмы для обхода DEP и ASLR, что является достаточно трудоемким процессом. Можно сказать, что они используют своеобразную особенность Windows, которая присутствует, в том числе, в новейшей версии Windows 8.1», – комментирует Артем Баранов, ведущий вирусный аналитик ESET Russia.

Обновление MS14-060, закрывающее уязвимость CVE-2014-4114, было выпущено 14 октября. ESET рекомендует пользователям как можно быстрее установить данное обновление.