Новости Software

Новая версия опасного бэкдора скрывается за "Невинностью мусульман"

Обнаружена новая модификация бэкдора BackDoor.BlackEnergy, участвующего в создании бот-сети из зараженных компьютеров. Троянец рассылается вместе с письмами, в теме которых указано название скандального фильма «Невинность мусульман». При этом направлены эти письма в украинские госструктуры. Инфицированные BackDoor.BlackEnergy компьютеры могут использоваться злоумышленниками для осуществления массовых спам-рассылок, организации DDoS-атак и других противоправных действий.

Многокомпонентный бэкдор BlackEnergy до недавнего времени использовался для создания одного из самых крупных спам-ботнетов: в пик активности на его долю приходилось до 18 миллиардов сообщений в день. Благодаря усилиям ряда компаний и специалистов по информационной безопасности в июле 2012 года было произведено отключение нескольких управляющих серверов ботнета, контролировавших значительное число инфицированных машин. Это привело к заметному снижению общемирового объема спам-трафика. Однако полностью вредоносная деятельность BlackEnergy не была прекращена, поскольку активными оставались менее крупные командные центры бот-сети. Судя по всему, создатели сети зомби-компьютеров не оставляют попыток восстановить былую мощность ботнета, о чем свидетельствует появление новой версии троянца.

Новая модификация бэкдора, добавленная в антивирусные базы Dr.Web под именем BackDoor.BlackEnergy.18, распространяется при помощи сообщений электронной почты с вложенным документом Microsoft Word. Интересной особенностью обнаруженных писем является то, что они адресованы лицам из украинских государственных ведомств, таких как Министерство иностранных дел Украины и посольство Украины в Соединенных Штатах Америки.

Вложенный в сообщение документ, детектируемый антивирусным ПО Dr.Web как Exploit.CVE2012-0158.14, содержит код, который эксплуатирует уязвимость одного из компонентов ActiveX. Этот компонент применяется приложением Word и некоторыми другими продуктами Microsoft для Windows. При попытке открытия документа во временный каталог пользователя сохраняются два файла, имеющие имена « WinWord.exe» и «Невинность мусульман.doc». Первый файл является дроппером троянца BackDoor.BlackEnergy.18 и служит для установки его драйвера в системный каталог.

После запуска дроппера выполняется открытие второго сохраненного файла, представляющего собой обычный документ Microsoft Word. Именно он содержит исходную информацию, которую жертва и ожидала получить. Таким образом, снижается риск возникновения каких-либо подозрений со стороны пользователя.

Материалы по теме:

Источник:

window-new
Soft
Hard
Тренды 🔥
Google обвинили в незаконном сборе конфиденциальных данных пользователей 49 мин.
Всесильный бан: читеры из «беты» Valorant узнали, что не могут играть в шутер и после релиза 51 мин.
Голосовой ассистент «Маруся» научился управлять «умным» домом и развлекать детей 55 мин.
Пользователям «ВКонтакте» стали доступны групповые голосовые и видеозвонки прямо на сайте 2 ч.
Видео: состоялся запуск платформера Skelattack о весёлых приключениях скелета 2 ч.
Humble Bundle создаст фонд в размере $1 миллиона для поддержки чернокожих разработчиков 2 ч.
Разработчик ремейка Trackmania Nations назвал подписную модель распространения лучше ежегодных сиквелов 3 ч.
WANdisco обеспечит миграцию данных в Azure в петабайтном масштабе 3 ч.
Слухи: Tencent приобрела контрольный пакет акций студии-разработчика Arma и DayZ 3 ч.
Продажи Valkyria Chronicles 4 за полтора года едва достигли 1 млн копий, но могло быть и хуже 3 ч.