Специалисты антивирусной компании Sophos потратили много времени на изучение файлов RTF, XLS и DOC, которые использовались как контейнеры для доставки вредоносного кода с помощью уязвимости CVE-2012-0158 в Microsoft Office. Такой механизм атаки применялся для «государственного» шпионажа в рамках операции Red October в Восточной Европе, а также в некоторых других таргетированных атаках.
Чтобы защититься от антивирусов, злоумышленники использовали криптографическую защиту файлов. Как выяснилось, при установке определённого пароля “VelvetSweatshop” в Excel файлы шифруются, но открываются в Excel без ввода пароля — это идеальный вариант для вирусной атаки. Программа Excel по умолчанию проверяет пароль “VelvetSweatshop” на всех зашифрованных файлах.
Фраза “velvet sweatshop” дословно переводится как «бархатное/мягкое потогонное производство». Можно предположить, что этот пароль отражает условия работы в Microsoft. Вероятно, кто-то из сотрудников редмонской компании выбрал его осознанно, не предполагая, что пароль будет взломан посторонними.
