Компания FireEye опубликовала в своем блоге подробности атаки с использованием уязвимости нулевого дня в Adobe Flash Player. Уязвимость CVE-2016-4117 затрагивает версии Adobe Flash 21.0.0.226 и более ранние. Эксперты сообщили, что эксплоит к Flash Player был встроен в документ Microsoft Office, размещенный на стороннем web-сервере. Злоумышленники использовали DDNS (Dynamic DNS) для обращения к файлу с вредоносным кодом. Ссылки на документ с эксплоитом рассылались в рамках фишинговой кампании, нацеленной на пользователей пакета Microsoft Office и ОС Windows.
После открытия документа жертвой, эксплоит загружал код с web-сервера и выполнял его на системе жертвы. Сценарий атаки выглядел таким образом:
- Жертва открывает файл Microsoft Office
Документ Microsoft Office подгружает встроенный Flash-файл. Если версия Adobe Flash ниже 21.0.0.196, атака прекращается.
- Эксплоит запускает встроенный шелкод. Шелкод загружает и выпоняет второй шелкод с web-сервера атакующего.
- Второй шелкод загружает и выполняет вредоносное ПО, а также измененный документ Office, для отображения контента в файле и сокрытия подозрительной деятельности.
- Вредоносное ПО подключается к C&C серверу и ожидает дальнейшие инструкции.
Подобный сценарий атаки является довольно распространенным. Основная цель злоумышленников – установить вредоносное ПО на систему жертвы и управлять скомпрометированным компьютером посредством C&C сервера. Эта угроза весьма актуальна в настоящее время, поскольку исправление к уязвимости вышло только несколько дней назад. Мы рекомендует всем пользователям установить исправление безопасности в кратчайшие сроки, а также использовать EMET в качестве превентивной меры против неисправленных уязвимостей. (FireEye/NovostIT)
