Архив новостей

«Зевс» — агент под pdf-прикрытием

Специалисты по сетевой безопасности обнаружили
новый способ распространения троянцев семейства ZeuS — в виде вложения в pdf-файл, присланный по электронной почте.

Вредоносные письма замаскированы под фальшивое уведомление о недоставке почтового отправления от имени британской службы Royal Mail. К письму прилагается «квитанция» — прикрепленный файл в pdf-формате, соответствующим образом поименованный. По свидетельству экспертов, этот файл содержит одноименное исполнимое вложение, которое активируется с помощью функции Launch программ для просмотра pdf-документов.

32628

Часть вложенного ехе-файла со строкой запуска (развернута)

В итоге в систему пользователя инсталлируется новая модификация ZeuS, который пытается подключиться к китайскому серверу.

Механизм выполнения команд /Launch/Action определен в спецификациях PDF и используется для запуска приложений и открытия/распечатки документа. Трюк с его эксплуатацией для установки вредоносных программ не нов; один из вариантов возможной атаки был недавно продемонстрирован бельгийским экспертом Дидье Стивенсом (Didier Stevens).

Сценарий обработки вложений в pdf-файлы таков. При открытии документа вызывается функция javascript, которая сохраняет вложенный в pdf-документ файл на жесткий диск:

32630

При этом Adobe Reader выводит на экран диалоговое окно, чтобы пользователь указал место размещения нового объекта. По умолчанию в строке «Имя файла» указывается исходное наименование вложения.

32632

Поскольку в нашем случае и сам pdf-документ, и его вложение названы одинаково, неискушенный пользователь может принять это за попытку сохранения собственно pdf-файла и бездумно нажать на кнопку «Сохранить». В Foxit Reader такие вложения автоматически, без вмешательства пользователя сохраняются в папке «Документы».

По завершении экспорта выполняется функция Launch.

32634

Программа отыскивает сохраненный файл в общедоступных папках и пытается его выполнить. При этом Adobe Reader, как и Foxit последней версии, вновь выводит диалоговое окно, на сей раз с предупреждением о возможных последствиях:

32636

Foxit более ранних версий активируют файл, не запрашивая выбор пользователя.

Тем не менее, даже новейшие версии Foxit и Adobe Reader не способны уберечь пользователя от заражения. Пока разработчики решают, как прикрыть одиозную лазейку для злоумышленников, можно повысить защиту, отключив javascript и запретив программе открывать не-pdf файлы во внешних приложениях (в установках Adobe Reader вкладка Диспетчер доверия).

«Зевс» — агент под pdf-прикрытием

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике