Корпорация Symantec сообщила об обнаружении атак на основе так называемых «тибетских писем» с использованием вирусов семейства Backdoor.Trojan. Как удалось выяснить компании, рассылка писем от имени связанных с Тибетом организаций ведётся с серверов, расположенных на территории России.
Используемые при атаке письма на английском языке адресованы американской компании по производству одежды. Заражение компьютера происходит при открытии инфицированного Word-документа, прикреплённого к письму. В ходе реализации атаки злоумышленники используют механизм, скрывающий от пользователей сам факт заражения компьютера, говорится в сообщении Symantec.
В частности, в качестве вектора проведения атаки используется программа известного производителя видеокарт,обладающая цифровой подписью. Для заражения достаточно открыть вложенный в сообщение инфицированный файл, обеспечивающий эксплуатацию уязвимости CVE-2012-0158, и в случае успеха на компьютер попадают три файла: NvSmart.exe, NvSmartMax.dll и boot.ldr, первый из которых обладает цифровой подписью. Приступая к анализу, специалисты Symantec предположили, что этот файл представляет собой вирус, подписанный украденной цифровой подписью. Однако в ходе дальнейшего анализа выяснилось, что этот файл подлинный.
В прошлом вредоносные программы обычно подменяли подлинный файл на фальшивый, который загружался при старте ОС. Но подмену файла достаточно легко обнаружить. В данном случае появляется новый легитимный файл известного производителя, и при установке его в систему в реестре для него создаётся соответствующая запись. В результате при старте компьютера запускается корректно установленная программа, обладающая цифровой подписью. И уже она запускает на исполнение подменённый файл NvSmartMax.dll, который, в свою очередь, запускает на исполнение файл boot.ldr, содержащий вредоносный код, пояснили в Symantec. При этом фальшивые файлы не регистрируются в качестве служб и не добавляются в реестр, поэтому большинство пользователей не замечают, что при запуске машины выполняется вредоносная программа.
Продукты Symantec определяют NvSmartMax.dll и boot.ldr в качестве вирусов семейства Backdoor.Trojan. Вредоносные программы такого рода обычно занимаются перехватом информации, отправкой её «хозяину» и даже предоставляют возможность удалённого управления компьютером.
По мнению специалистов Symantec, данный метод загрузки вредоносных программ не ограничивается одной лишь программой NvSmart.exe, и следует ожидать применения этой тактики в будущих атаках с использованием и других легитимных файлов.