Целевые пользователи Азии под ударом хакеров


Rapid7Пользователи из Вьетнама, Индии, Китая, Тайваня и ряда других стран стали жертвами массированной атаки. В рамках этой атаки мошенники рассылают вредоносные .doc-файлы, которые эксплуатируют уязвимости в операционной системе Windows и пакете Word для установки в компьютер программы-бэкдора. При помощи этого бэкдора мошенники похищают различную информацию с компьютеров.

Для рассылки фишинговых писем мошенники используют классическую схему: рассылаются письма, к которым приложены вредоносные файлы, атакующие Word.


Специалистами компании Rapid7 был выявлен один из таких документов. Он был написан на вьетнамском и предлагал образовательные услуги, так как был ориентирован на вьетнамские академические круги. Второй документ был написан на английском и в нем обсуждалась телеком-инфраструктура в Индии, в частности GSM-покрытие в Калькутте. Этот файл был ориентирован на работников индийских операторов связи.

При открытии эти файлы использовали технику исполнения удаленного кода и пытались вызвать уязвимости CVE-2012-0158 и CVE-2012-1856, связанные с Microsoft Office 2003, 2007 и 2010. И хотя эти уязвимости были устранены еще в прошлом году, далеко не все пользователи обновили свои приложения. Эти же уязвимости на днях использовали кибершпионские кампании NetTraveler и HangOver.

В случае с последними атаками злоумышленники подселяли на компьютеры пользователей вредонос KeyBoy, который устанавливал клавиатурных шпионов и был способен воровать данные из Internet Explorer и Mozilla Firefox. Также этот вредонос может открывать фоновый Windows Shell и позволяет мошенникам выполнять удаленные команды на зараженном компьютере.

Атакующие были ориентированы на конкретные страны, и хотя сама по себе вредоносная кампания не отличается сложностью, к выборам целей хакеры подошли детально.


Обновлено (12.06.2013 00:15)