Интересный кейс описал специалист «Лаборатории Касперского» Денис Легезо на сайте Securelist. В сентябре 2016 года специалисты компании заметили новую волну направленного фишинга (атаки продолжаются до сих пор), в ходе которой использовались как старые эксплоиты для уязвимостей в Office (к примеру, CVE-2012-0158), так и файлы с незнакомым аналитикам расширением .inp. Изучение вопроса показало, что такое расширение имеют документы InPage.
Данная программа является популярным тестовым процессором и применяется для редакционно-издательских работ в странах, где говорят на урду, пушту, персидском и арабском языках. Так, InPage широко распространен в Пакистане и среди индийских мусульман, где им суммарно пользуются около 16 млн человек. InPage применяют в издательствах и полиграфиях, в СМИ, а также им пользуются правительственные учреждения и финансовые организации (банки).
Так как никаких данных об эсплоитах для InPage в публичном доступе обнаружено не было, исследователи решили разобраться, являются ли документы .inp вредоносными. Как оказалось, документы содержали шелл-код, который сначала расшифровывал себя, а затем EXE-файл, встроенный в документ. Исследователи сообщают, что шелл-код срабатывает в ряде версий InPage, и так как никаких данных об этой проблеме нет, «Лаборатория Касперского» расценивает ее как 0-day.
Исследователи установили, что злоумышленники атаковали финансовые и правительственные организации в Уганде, Шри-Ланке и Мьянме. В ходе атак хакеры, как правило, используют более одного вредоносного документа. Помимо файлов InPage, атакующие прикладывают к своим фишинговым посланиям файлы .rtfs и .docs со старыми и популярными эксплоитами. Изучив арсенал хакеров, эксперты нашли разные варианты кейлоггеров и бэкдоров, в основном написанных на Visual C++, Delphi и Visual Basic.
Возвращаясь к InPage, Легезо пишет, что InPage использует собственный проприетарный формат файлов, который основывается на Microsoft Compound File Format. Парсер основного модуля программы, inpage.exe, содержит уязвимость, которая срабатывает в ход парсинга определенных полей. Атакующим остается только внимательно настроить такое поле в документе, после чего они могут контролировать поток команд и осуществить выполнение кода.
Специалисты «Лаборатории Касперского» полагают, что эксплоит для данной проблемы используется злоумышленниками уже несколько лет. Также исследователи отмечают его сходство с эксплоитами для другого текстового процессора, Hangul Word Processor, который очень широко распространен в Южной Корее.
Но если создатели Hangul Word Processor регулярно исправляют уязвимости в своем ПО и закрывают обнаруженные экспертами дыры, нельзя сказать того же о разработчиках InPage. «Лаборатория Касперского» так и не смогла связаться с авторами InPage, поэтому в итоге в компании приняли решение обнародовать информацию о 0-day уязвимости, невзирая на отсутствие патча.
Фото: Depositphotos, "Лаборатория Касперского"
