Исследователи из Palo Alto Networks сообщили о кампании по шпионажу, направленной на посольство Индии в Афганистане. По словам экспертов, в конце декабря прошлого года посол Индии получил фишинговое письмо якобы от лица министра обороны страны Манохара Паррикара с прикрепленным RTF-файлом. Данный файл содержал эксплоит для уязвимости (CVE-2010-3333) в программном обеспечении Office XP. Эксплуатация ошибки позволяет атакующему выполнить произвольный код на системе.
Файл является простым дроппером и автоматически запускается на исполнение. В результате на компьютер загружается вредоносное ПО, получившее название Rover. В случае загрузки и инсталляции вредонос устанавливает бэкдор на зараженный компьютер.
Основная задача Rover заключается в осуществлении шпионской деятельности. Вредонос способен делать скриншоты (данные отправляются на C&C-сервер злоумышленников каждые 60 минут), записывать нажатия клавиш, просматривать документы Microsoft Office и загружать их на C&C-сервер. Также функционал Rover включает возможность по приказу преступников записывать видео и аудио с web-камеры и микрофона. Несмотря на отсутствие функций, присущих большинству видов современного вредоносного ПО, Rover может обходить средства защиты и почти не поддается обнаружению антивирусными решениями. (Palo Alto/NovostIT)