uWarrior - новый троян удаленного доступа


uWarrior (Palo Alto Networks) - RAT-троян удаленного доступа, распространяющийся под видом .RTF документа.

Вредонос содержит эксплоит к двум старым уязвимостям (CVE-2012-1856 и CVE-2015-1770), которые позволяют удаленное выполнение кода. Первая брешь, выявленная еще в 2012 году, затрагивала Windows Common Controls MSCOMCTL.OCX. В настоящее время ее начали снова эксплуатировать хакеры в возвратно-ориентированном программировании для обхода ASLR.

Вредоносный .RTF документ содержит множество объектов OLE, которые могут быть использованы для эксплуатации брешей. Инфицировав устройство, троян копирует себя в другую локацию на системе. После этого он записывает информацию на локальный файл, и связывается с C&C-сервером через сжатый, зашифрованный, сырой TCP сокет и двоичный протокол.

Кроме того, uWarrior содержит некоторые компоненты другого известного трояна ctOS. Оба эти вредоноса включают в себя аналогичные конфигурационные структуры, несколько одинаковых функций, кодов и даже строчки на итальянском языке.