Как сообщили специалисты «Лаборатории Касперского», эксплойты для недавно обнаруженной уязвимости в Adobe Flash Player загружают ворующего пароли троянца, который нацелен на учетные записи электронной почты и социальных сетей китайских пользователей и организаций.

Эта атака выглядит как обособленная кампания, и эти эксплойты, похоже, не связаны с новой продвинутой шпионской кампанией, названной The Mask, о которой специалисты «Касперского» собираются рассказать на следующей неделе на саммите вирусных аналитиков компании.

Adobe выпустила срочный патч для этой уязвимости; уязвимость CVE-2014-0497 позволяет злоумышленнику удаленно внедрять код и перехватывать управление системы, в которой работает Flash. Данная уязвимость присутствует в Adobe Flash Player версии 12.0.0.43 и более ранних для Windows и Mac, а также в версии 11.2.202.335 и более ранних для Linux.

По словам Вячеслава Закоржевского, руководителя группы исследования уязвимостей, исследователи «Лаборатории Касперского» Александр Поляков и Антон Иванов доложили об уязвимости Adobe после того, как обнаружили набор новых .swf-эксплойтов.

Исследователи обнаружили 11 эксплойтов для Flash версий 11.3.372.94, 11.3.375.10, 11.3.376.12, 11.3.377.15, 11.3.378.5, 11.3.379.14, 11.6.602.167, 11.6.602.180, 11.7.700.169, 11.7.700.202, 11.7.700.224. Все эксплойты используют одну и ту же уязвимость и представляют собой распакованные SWF-файлы. Во всех эксплойтах actionscript код идентичен. В нем выполняется проверка версии операционной системы: эксплойты работают только под Windows XP, Vista, Windows Server 2003 и 2003 R2, Windows 7 и 7×64, Windows Server 2008 R2. В некоторых самплах стоит отдельное условие, согласно которому эксплойт прекращает работу на Windows 8.1 и 8.1 x64.

Если проверка на версию ОС прошла успешно, управление передается на функции, собирающие ROP-цепочки в зависимости от версии Flash Player. По словам Закоржевского, код формируется в зависимости от версии Windows, после этого запускается эксплойт.

Судя по всему, атака начинается с фишинговых электронных писем, в которых жертве высылаются зараженные документы .docx, которые содержат встроенное Flash-видео.

«Когда жертва открывает документ, содержащийся в нем Flash-эксплойт запускает загрузчик, который скачивает полнофункциональный бэкдор и троянец, — рассказал Закоржевский. — После этого программа крадет пароли от популярных клиентов электронной почты и логины с паролями из веб-форм популярных соцсетей и электронной почты».

«Лаборатория Касперского» не подтверждает, имели ли место целевые атаки, но это весьма вероятно. Заголовки вредоносных файлов .docx и Flash написаны на корейском языке и были обнаружены на трех компьютерах, один в приложении к письму, открытом на машине с Mac OS X, и еще два в кэше браузера на машине с Windows 7, скорее всего, также после того, как пользователь открыл письмо. На Windows-машине использовался китайский браузер SogouExplorer, а почта на Mac была размещена на сервере китайского почтового провайдера 163[.]com.

Исследователи смогли обнаружить только один эксплойт, содержащий исполняемый файл, загрузчик Trojan-Downloader.Win32.Agent.hdzh, шифрованный Microsoft CryptoAPI и размещенный на бесплатном хостинге bugs3[.].com. Исполняемые файлы содержат парольные воры для почтовых клиентов и социальных сетей, включая Google, Yahoo!, Twitter, Facebook и многие другие.

Бэкдор Backdoor.Win32.Agent.dfdq подключается к одному из трех серверов управления и контроля: sales[.]eu5[.]org; www[.]mobilitysvc[.]com; and javaupdate[.]flashserve[.]net.

Закоржевский рассказал, что кампания продолжается в данный момент и что исследователи не смогли просмотреть документы, которые отправляются на сервер управления и контроля. По его словам, вероятно, это изолированная компания, и специалисты не смогли связать вредоносные файлы Word и Flash с существующим ботнетом.

По словам исследователей, нет никакой связи с кампанией The Mask. В посте в блоге Securelist говорится, что по сложности The Mask превосходит Duqu и в данный момент является одной из самых продвинутых угроз.

«Маска» эффективно использует эксплойты высокого класса и является крайне изощренным зловредом, включающим в себя bootkit и rootkit, версии для Mac и Linux и индивидуальную атаку против продуктов «Лаборатории Касперского», — сказано в сообщении.

Тем временем Adobe побуждает своих клиентов немедленно обновить Flash из-за этих эксплойтов. Полное изложение содержания обновлений:

  • Пользователи Adobe Flash Player 12.0.0.43 и более ранних версий для Windows и Macintosh должны обновиться до версии 12.0.0.44.
  • Пользователи Adobe Flash Player 11.2.202.335 и более ранних версий Linux должны обновиться до версии 11.2.202.336.
  • Adobe Flash Player 12.0.0.41, установленный с Google Chrome, автоматически обновится до последней версии Google Chrome, которая включает в себя Adobe Flash Player 12.0.0.44 для Windows, Macintosh и Linux.
  • Adobe Flash Player 12.0.0.38, установленный с Explorer 10, автоматически обновится до последней версии Internet Explorer 10, которая включает в себя Adobe Flash Player 12.0.0.44 для Windows 8.0.
  • Adobe Flash Player 12.0.0.38, установленный с Explorer 11, автоматически обновится до последней версии Internet Explorer 11, которая включает в себя Adobe Flash Player 12.0.0.44 для Windows 8.1.

Изображение любезно предоставлено Siggi Arni

Категории: Вредоносные программы, Уязвимости