Троян MSUpdater используется для атаки на госсектор

1/02/2012 13:05

IT-компании Zscaler и Seculert одновременно сообщили об обнаружении новой хакерской кампании, направленной на пользователей из среды госсектора и компаний, работающих с госсектором. Согласно предоставленным компаниями данным, атакующие отправляют целевым получателям из указанных сфер спам-письма, выполненные под видом приглашений на различные конференции. Часто приглашения были размещены в PDF-файлах. Очевидно, что в приложенных файлах содержался вредоносный код, рассчитанный на использование уязвимостей в Adobe Reader. Компании называют провоцируемый в результате открытия для загрузки файл троян MSUpdater, так как тот симулирует сообщение от системы обновления Windows Update. Однако в реальности троян похищает данные пользователей, а также широкий спектр хранимых на компьютере документов. С учетом того, что обнаруженная атака носит целевой характер, атакующие явно заинтересованы в получении файлов, хранящихся на компьютерах работников американского госсектора и компаний, с ним связанных. Ни Zscaler ни Seculert конкретных названий пострадавших компаний не разглашают. Технический директор Seculert Авив Рафф, полагает, что за данной атакой стоят так называемые "государственные хакеры", так как обычные злоумышленники вряд ли станут охотиться за гостайнами, предпочитая банально воровать номера кредиток пользователей и реквизитов систем онлайн-банкинга. Обе компании говорят, что уязвимость в Reader, эксплуатируемая в этой атаке, была закрыта Adobe около года назад, поэтому злоумышленники, судя по всему, надеялись на нерасторопность IT-администраторов соответствующих ведомств. Что привлекает внимание в этой атаке, говорят компании, так это дополнительная шифровка исходящего от трояна трафика. Это говорит о том, что хакеры не исключали возможности обнаружения трояна со стороны пользователей, однако чтобы последним было труднее отследить коммандный сервер, на который троян передавал ворованные данные, зашифровали трафик. В Zcaler говорят, что троян во время работы создавал вокруг себя виртуальную машину в миниатюре, которая должна была гарантировать защиту получателям краденных данных.
Источник