Новый вредонос Rover использовался для шпионажа за индийским правительством

Исследователи из Palo Alto Networks сообщили о кампании по шпионажу, направленной на посольство Индии в Афганистане.

По словам экспертов, в конце декабря прошлого года посол Индии получил фишинговое письмо якобы от лица министра обороны страны Манохара Паррикара с прикрепленным RTF-файлом. Данный файл содержал эксплоит для уязвимости ( CVE-2010-3333 ) в программном обеспечении Office XP. Эксплуатация ошибки позволяет атакующему выполнить произвольный код на системе.

Файл является простым дроппером и автоматически запускается на исполнение. В результате на компьютер загружается вредоносное ПО, получившее название Rover. В случае загрузки и инсталляции вредонос устанавливает бэкдор на зараженный компьютер.

Основная задача Rover заключается в осуществлении шпионской деятельности. Вредонос способен делать скриншоты (данные отправляются на C&C-сервер злоумышленников каждые 60 минут), записывать нажатия клавиш, просматривать документы Microsoft Office и загружать их на C&C-сервер. Также функционал Rover включает возможность по приказу преступников записывать видео и аудио с web-камеры и микрофона.

Несмотря на отсутствие функций, присущих большинству видов современного вредоносного ПО, Rover может обходить средства защиты и почти не поддается обнаружению антивирусными решениями.