Хакер Джон Гросс из компании Cylance обнаружил очень интересный образец вредоносного программного обеспечения, который язык не поворачивается назвать обычным трояном. Это полноценный фреймворк, расширяемая платформа с подключаемыми модулями. Целью трояна является кража секретной информации и коммерческих секретов с промышленных предприятий. В первую очередь, троян нацелен на западные компании автомобильной отрасли, поэтому ему и дали название Grand Theft Auto (GTA) Panda.
Для заражения компьютеров Grand Theft Auto (GTA) Panda использует рассылку зараженных документов .xls и .doc, используя известную уязвимость CVE-2012-0158 в Microsoft Office (патч вышел 18 месяцев назад).
Цели для атак тщательно выбираются. Адресатам отправляют составленные специально для них электронные письма с текстом, который выглядит убедительно. Например, в одном случае, о котором сообщает компания Cylance, злоумышленники написали отрицательный гневный отзыв якобы от клиента компании.
Троян GTA Panda используется для шпионажа несколько лет, но благодаря скрытности злоумышленников до сих пор не попадал на радары антивирусных компаний. «Они могут изменять компоненты со временем и не беспокоиться об антивирусах до тех пор, пока не обнаружен основной компонент, — говорит Джон Гросс. — Это расширяемая платформа, куда добавляют модули: снимки экрана, нажатия клавиш, они просто высылают их в виде плагинов».
Джон Гросс заметил, что GTA Panda применяли не только для промышленного шпионажа, но и против правозащитных групп. Эксперт считает, что правозащитники — это традиционная мишень для атаки, нечто вроде песочницы. Новые трояны сначала испытывают на них, а самые лучшие потом используют в более серьезных операциях.
