Exploit jest dostarczany poprzez dokument Microsoft Word. Atakujący mogą dzięki niemu zainstalować szkodliwe oprogramowanie FinSpy. Luka została już zgłoszona firmie Adobe, która wydała odpowiednią łatkę.
W wyniku działania luki na komputerze instalowany jest wspomniany FinSpy. To komercyjne szkodliwe oprogramowanie, które rządy i organy ścigania nabywają do celów inwigilacyjnych. Początkowo wykorzystywany był lokalnie, na terenie jednego kraju. Obecnie, za sprawą grupy BlackOasis, działa globalnie, co pozwala snuć przypuszczenie, że zasila globalne operacje wywiadowcze.
Po zainstalowaniu na komputerze szkodnik łączy się ze swoimi serwerami kontroli zlokalizowanymi w Szwajcarii, Belgii i Holandii, a następnie czeka na dalsze polecenia.
Kto jest celem ataku?
Kaspersky Lab ocenia, że celem najnowszego ataku są osoby związane z polityką Bliskiego Wschodu – znaczące osobistości ONZ, blogerzy, aktywiści oraz regionalni korespondenci.
Dotychczas ofiary ugrupowania BlackOasis zidentyfikowano w następujących krajach: Rosji, Iraku, Afganistanie, Nigerii, Libii, Jordanii, Tunezji, Arabii Saudyjskiej, Iranie, Holandii, Bahrajnie, Wielkiej Brytanii i Angoli.
– Atak przy użyciu wykrytego niedawno exploita dnia zerowego to już trzeci w tym roku przypadek rozprzestrzeniania narzędzia FinSpy w taki sposób. Wcześniej ugrupowania stosujące tego rodzaju szkodliwe oprogramowanie wykorzystywały do swoich celów krytyczne luki w produktach Microsoft Word i Adobe. Uważamy, że liczba ataków z użyciem oprogramowania FinSpy, wspomaganych exploitami dnia zerowego jak ten opisywany tutaj, nadal będzie rosła – wyjaśnia Anton Iwanow z Kaspersky Lab.
Nowo wykryta luka i atak z nią związany jest już blokowany przez oprogramowanie Kaspersky Lab. Zaleca się również zaktualizowanie Adobe Flash, a w przypadku, gdy nie jest on potrzebny, warto usunąć go z systemu.
Źródło: Kaspersky Lab