Специалисты компании FireEye обнаружили вредоносный код на сайте Совета по международным отношениям США (СМО), очень влиятельной некоммерческой организации, которая занимается аналитической обработкой внешнеполитического курса США. Организация основана в 1918 году при поддержке крупных банков и финансовых организаций Уолл-стрит, а её миссия формулировалась как «пробудить Америку к её всемирной ответственности».

Членами СМО являются 4500 человек, среди них большинство лиц, которые оказали значительное влияние на внешнюю политику США в последние десятилетия. Это своеобразный мозговой центр и главный оперативный штаб по разработке и проведению внешнеполитического курса. Подробнее об «истинных задачах» Совета по международным отношениям США можно прочитать в советской пропагандистской литературе.

27 декабря на сайте Совета по международным отношениям США был обнаружен вредоносный код JavaScript, который разместили примерно за неделю до этого (21 декабря). Скрипт загружал эксплойт, который использовал ранее неизвестную 0day-уязвимость в Internet Explorer 8 и более ранних версий. Уязвимость связана с некорректной обработкой контента Adobe Flash.

Интересно, что скрипт срабатывал только для пользователей, у которых язык операционной системы распознавался как английский, китайский, японский, корейский и русский.

var h=navigator.systemLanguage.toLowerCase();
if(h!="zh-cn" && h!="en-us" && h!="zh-tw" && h!="ja" && h!="ru" && h!="ko")
{
location.href="https://xakep.ru/wp-content/uploads/post/59898/about:blank";
}

Скрипт также проверял cookies, чтобы не поставлять эксплойт одному пользователю дважды.

var num=DisplayInfo();
if(num >1)
{
location.href="https://xakep.ru/wp-content/uploads/post/59898/about:blank";
}

После проверки скрипт запускал вредоносный файл today.swf, а также записывал в кэш xsainfo.jpg. Он выступал в качестве дроппера и скачивал flowertep.jpg, который декодируется как DLL, а также бинарник shiape.exe, который после исполнения внедрял код в процесс iexplore.exe и прописывался в реестре HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\.

29 декабря компания Microsoft подтвердила факт уязвимости и опубликовала бюллетень безопасности. Уязвимости присвоен идентификатор CVE-2012-4792.

Разработчики эксплойт-пака Metasploit уже опубликовали анализ уязвимости. Выпущен также концептуальный модуль Proof-of-Concept.

Видеофайл в формате mp4

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии