Атаки с помощью файлов Help

Корпорация Symantec сообщила об использовании файлов справочной системы Windows Help (с расширением .hlp) для проведения направленных атак. По заявлению экспертов компании, наблюдающих за угрозой с прошлого года, этот метод применяется в направленных атаках против промышленного и правительственного секторов. Использованные в атаках вредоносные hlp-файлы специалисты Symantec идентифицируют как Bloodhound*.hlp.1 и Bloodhound*.hlp.2.

Эксперты допускают, что файлы Windows Help все чаще используются для направленных атак из-за того, что в этом случае не нужно прибегать к использованию эксплойтов. Используя приемы социальной инженерии, злоумышленники заставляют пользователя открыть соответствующий hlp-файл, отправленный ему по электронной почте. Функционал файлов справки позволяет выполнять вызов Windows API, который, в свою очередь, выполняет запуск шелл-кода и установку файлов, обеспечивающих основной функционал вредоносной программы. Это не эксплойт, а изначально заложенная функция. Компания Microsoft, которой давно известно о проблемах безопасности, связанных с такими возможностями, еще в 2006 г. начала постепенно отказываться от поддержки данного формата.

Среди атак, регистрируемых в Интернете по данному вектору, эксперты Symantec выделяют две основные угрозы: Trojan.Ecltys и Backdoor.Barkiofork. Применение обеих угроз, как правило, ограничено атаками, нацеленными на промышленный и правительственный секторы.