Эксплоит для уязвимости нулевого дня в IE используется в атаках на пользователей из Южной Кореи

Эксплоит для обнаруженной в интернет-обозревателе Internet Explorer уязвимости нулевого дня (CVE-2016-0189) используется в целевых атаках на пользователей из Южной Кореи. Об этом сообщили специалисты компании Symantec. Эксплуатация ошибки позволяет атакующему выполнить произвольный код на целевой системе или вызвать отказ в обслуживании. Отметим, во вторник, 10 мая, компания Microsoft выпустила плановые обновления для своих продуктов, в которых исправлен ряд уязвимостей, включая CVE-2016-0189.

Как полагают исследователи, распространение эксплоита осуществлялось посредством ссылок, содержащихся в фишинговых письмах, или размещенных на скомпрометированных легитимных web-сайтах.

Эксплоит содержал код JavaScript, предназначенный для проведения разведывательных действий на целевом компьютере. Скрипт проверял наличие виртуальной машины, а также определял версию Internet Explorer, AdobeFlash и ОС Windows, установленные на системе. Затем вся собранная информация отправлялась на web-сайт, расположенный в Южной Корее.

На следующем этапе скрипт загружал обфусцированный файл VBScript, содержащий эксплоит. В случае успешного запуска эксплоит загружал на систему вредоносный файл. По словам специалистов, функционал данного файла неизвестен.

В настоящее время преследуемые злоумышленниками цели не ясны. В основном атаки на южнокорейские компании связаны со шпионажем или саботажем, например, преступники могут похитить важную конфиденциальную информацию или удалить данные с жестких дисков, отмечают эксперты Symantec.