Эксперты FireEye обнародовали в официальном блоге компании подробную информацию об атаках с применением уязвимости нулевого дня в Adobe Flash Player, затрагивающей версии ПО, начиная с 21.0.0.196.
Как сообщили специалисты, эксплоит для уязвимости в Flash Player был внедрен в документ Microsoft Office, опубликованный на стороннем веб-сервере. Киберпреступники воспользовались DDNS для того, чтобы обратиться к файлу с вредоносным кодом. Распространение ссылок на документ, содержащий эксплоит, осуществлялось с помощью фишинговых писем.
Жертва открывала документ, который подгружал встроенный Flash-файл. При наличии версии Adobe Flash, старшей чем 21.0.0.196, атака прекращалась.
Эксплоит осуществлял запуск встроенного шелл-кода, который занимался загрузкой и выполнением еще одного шелл-кода с веб-сервера злоумышленников.
Второй шелл-код производил загрузку и выполнение вредоносной программы, а также измененного документа Office, чтобы отображать содержимое файла и скрывать подозрительную активность.
Вредоносная программа подключалась к C&C-серверу и переходила в режим ожидания дальнейших инструкций.
Данная схема атаки является достаточно распространенной. Главная цель хакеров – установка вредоносного программного обеспечения и управление взломанным компьютером с помощью C&C сервера. На данный момент угроза все еще является актуальной, так как исправление к уязвимости было опубликовано лишь несколько дней назад.
Эксперты рекомендуют пользователям оперативно осуществить установку исправления безопасности.