Symantec: спаммеры распространяют троян посредством «тибетских писем»

Компания Symantec зафиксировала в сети спам-атаку, в рамках которой злоумышленники рассылают жертвам «тибетские письма», содержащие вирусы семейства Backdoor.Trojan. В Symantec установили, что отправка писем осуществляется с серверов, расположенных на территории Российской Федерации. Об этом сообщается в пресс-релизе компании.

Рассылаемые письма написаны на английском языке и адресованы американской компании, которая занимается производством одежды. Компьютер потенциальной жертвы заражается вредоносным ПО после открытия Word-документа, который вложен в письмо. Инфицированный файл содержит эксплоит уязвимости CVE-2012-0158 .

В случае успешного проведения атаки на компьютер пользователя попадают три файла NvSmart.exe, NvSmartMax.dll и boot.ldr, первый из которых обладает подлинной цифровой подписью.

Обычно, при запуске “NvSmart.exe” происходит подгрузка в память “NvSmartMax.dll” из внешней библиотеки. Однако в данном случае подгружается фальшивая “NvSmartMax.dll”, которая, в свою очередь, запускает выполнение файла boot.ldr, содержащего вредоносный код.

Эксперты Symantec прогнозируют, что в будущем злоумышленники будут чаще применять тактику с использование легитимных файлов в будущих хакерских атаках.