Почти месяц назад мы предупреждали об очередной zero-day уязвимости в Adobe Flash Player, которая в тот момент активно эксплуатировалась злоумышленниками в ходе целевых атак. Тогда в файлы Microsoft Excel внедрялись вредоносные SWF-файлы; Excel при этом использовался исключительно как средство доставки вредоносного кода.
В этом месяце настала очередь Microsoft Word. Согласно данным, опубликованным Брайаном Кребсом, вредоносный документ Word имеет много общего с вредоносным Excel-файлом, о котором мы писали ранее. Судя по всему, новый зловред либо создан теми же авторами, либо навеян их творением.
Тем не менее, эти два зловреда имеют некоторые отличия. Так, в данном случае в атаке используется не Poison Ivy, а другой бэкдор, который некоторые специалисты по IT-безопасности называют Zolpiq, хотя большинство используют generic-обозначение.
По сравнению с Poison Ivy, Zolpiq ведет себя в системе более скрытно. Этим можно объяснить тот факт, что в этой волне атак он заменил популярный Poison Ivy. Начиная с 10 апреля продукты «Лаборатории Касперского» детектируют новый бэкдор как Trojan-Dropper.Win32.Small.hgt.
Комментарии прошлого месяца по-прежнему актуальны. Чтобы борьба с целевыми атаками была более эффективной, производителям ПО следовало бы позволить отключать в своих продуктах определенные функции. Лично мне не нужна возможность просматривать Flash-файлы, внедренные в документы Word или Excel — думаю, что и вам тоже. Однако в данный момент пользователь может только удалить приложение — других вариантов у него нет.
Нет предела несовершенству