Троян BlackEnergy под видом презентаций PowerPoint

Специалисты компании ESET опубликовали результаты исследования трояна BlackEnergy, который использовался для кражи данных корпоративных пользователей из Польши и Украины. Как установили вирусные аналитики, для внедрения вредоносной программы Win32/Rootkit.BlackEnergy использовалась уязвимость нулевого дня CVE-2014-4114, касающаяся ОС Windows Vista, Windows 7, новейших Windows 8 и 8.1, а также RT.

Жертвы получали по электронной почте подозрительное письмо с вложением – презентацией в формате PowerPoint, которая и содержала эксплойт. Открыв презентацию, пользователь видел текст на украинском языке, при этом в систему в фоновом режиме устанавливалось вредоносное ПО. Для этого эксплойт загружал с удаленного сервера исполняемый файл дроппера и .INF файл для его непосредственной установки.

Кампании по распространению BlackEnergy уже были отмечены в августе, тогда в текстах спам-писем упоминался конфликт на Украине. Подобные эксплойты известны как минимум с 2012 г., поясняют в ESET, но прежде они не использовались так активно. Обнаружив их эксплуатацию in-the-wild, аналитики сообщили об этом в Microsoft. Обновление MS14-060, закрывающее уязвимость CVE-2014-4114, было выпущено 14 октября. ESET рекомендует пользователям как можно быстрее установить это обновление.