Злоумышленники используют новую уязвимость Windows для распространения трояна BlackEnergy

Специалисты международной антивирусной компании ESET (Словакия) опубликовали результаты исследования трояна BlackEnergy, который использовался для кражи данных корпоративных пользователей из Польши и Украины.Вирусные аналитики ESET установили, что для внедрения вредоносной программы Win32/Rootkit.BlackEnergy использовалась уязвимость нулевого дня CVE20144114. Уязвимы операционные системы Windows Vista, Windows 7, новейшие Windows 8 и 8.1, а также RT. Жертвы получали по электронной почте подозрительное письмо с вложением – презентацией в формате PowerPoint, которая и содержала эксплойт. Открыв презентацию, пользователь видел текст на украинском языке, при этом в систему в фоновом режиме устанавливалось вредоносное ПО. Для этого эксплойт загружал с удаленного сервера исполняемый файл дроппера и .INF файл для его непосредственной установки. «В августе мы уже наблюдали вредоносные кампании по распространению BlackEnergy. Тогда в текстах спамписем упоминался конфликт на Украине, – говорит Роберт Липовски, вирусный аналитик ESET. – Подобные эксплойты известны как минимум с 2012 года, но прежде они не использовались так активно. Обнаружив их эксплуатацию inthewild, мы сообщили об этом в Microsoft. Это произошло 2 сентября 2014 года, и сейчас корпорация Microsoft уже выпустила обновление, закрывающее эту уязвимость».«Эксплуатация этой уязвимости не несет значительных накладных расходов для атакующих, поскольку не относится к типу memorycorruption или HeapOverflow. Атакующим не нужно разрабатывать специальные механизмы для обхода DEP и ASLR, что является достаточно трудоемким процессом. Можно сказать, что они используют своеобразную особенность Windows, которая присутствует, в том числе, в новейшей версии Windows 8.1», – комментирует Артем Баранов, ведущий вирусный аналитик ESET Russia.Обновление MS14060, закрывающее уязвимость CVE20144114, было выпущено 14 октября. ESET рекомендует пользователям как можно быстрее установить данное обновление.