Специалисты по ИТ безопасности из компании Cisco выявили следы продуктивного нападения, которое было направлено на определённые компаний из нефтедобывающей, банковской и ювелирной промышленности.
Способом нападения является обычный phishing (фишинг) с загрузкой эксплоита (exploit), но в данном случае для загрузки эксплоита (exploit) преступники применили, вмонтированный в приложения Microsoft Office, язык программирования "Visual Basic Scripting for Applications".
Жертвам рассылались электронные письма, которые вложенные документы Microsoft Word, при этом для каждого адресата письмо составлялось индивидуально. Среди вложенных документов были счета-фактуры, платёжные квитанции или поручения от имени тех компаний, с которыми жертва реально имеет или имела дело.
После открытия документа срабатывает вредоносный макрос, который в свою очередь загружает эксплоит (exploit). В ходе выполнения макроса устанавливаются НТТР соединения с хостами londonpaerl.co.uk, dl.dropboxusercontent.com, selombiznet.in, которые предположительно используются для удалённого манипулирования зараженным компьютером. Во всех случаях, заражённый ПК жертвы пытается передавать туда некоторые данные методом HTTP POST.
Файлы эксплойта непосредственно загружались с файлового хостинга Dropbox. Увы, но почти ни одна из антивирусных программ не смогла распознать во вложенном документе .doc данную угрозу. Специалисты из компании Cisco связались с представителями компании Dropbox и добились удаления вредоносных файлов с файлового хостинга.
В Cisco считают, что преступники успешно работали, как минимум, с 2007 года и принимая во внимание семилетний срок и успешный обход антивирусных программ, макросы Word на данный момент можно считать самым эффективным инструментом для удалённой загрузки эксплоитов (exploit).
http://blogs.cisco.com/security/a-string-of-paerls/
