Специалисты американской компании FireEye, специализирующейся на сетевой безопасности, обнаружили новое вредоносное ПО Felixroot. С его помощью злоумышленники внедряют бэкдоры на компьютеры пользователей, используя старые уязвимости Microsft Office.
Вредоносная программа распространяется среди украинских пользователей через файл «Seminar.rtf». В основном это фишинговые письма с вложением, которое якобы касается семинара по защите окружающей среды. Специфика темы говорит о том, что атака направлена на определённых пользователей, возможно даже конкретные государственные организации.
Felixroot использует две уязвимости Microsoft Office: CVE-2017-0199 и CVE-2017-11882. После запуска на компьютере жертвы в папке %temp% появляется двоичный файл, который в свою очередь создаёт два файла — ярлык, ведущий на %system32%\rundll32.exe, и компонент загрузчика Felixroot. Бэкдор использует кастомное шифрование с использованием XOR с ключом в 4 байта и начинает действовать не сразу, а спустя 10 минут. Он ищет команды для выполнения и подключается к C&C-серверу, куда отправляет похищенные данные. Согласно FireEye, вредоносное ПО использует Windows API для получения имени компьютера, имени пользователя, версии Windows, архитектуры процессора и других дополнительных сведений.
Как только данные будут отправлены, Felixroot останавливает свои процессы и вытирает все следы присутствия в системе. Вредоносная программа разработана таким образом, чтобы никто не мог отследить ее путь. В FireEye не раскрывают специфики работы Felixroot, поскольку в данный момент всё ещё работают над изучением вредоноса.
По сути этот бэкдор был обнаружен ещё в прошлом году, и компания Microsoft сразу же выпустила патчи безопасности для офисных пакетов. К сожалению, организации зачастую не обновляют или слишком поздно обновляют свои программные продукты, что приводит к распространению вредоносного ПО. Даже несмотря на то, что софтверный гигант не раз предупреждал об опасности.