Symantec ostrzega przez wykryciem nowego użycia złośliwego oprogramowania Backdoor.Korplug.

Sam Backdoor.Korplug został wykryty już w marcu obecnego roku jednak teraz używany jest pod przykryciem zaufanych aplikacji przesyłanych w mailach.

Najczęstszy scenariusz dotyczy przesyłania plików ZIP z hasłem lub dokumentów Microsoft Office z formatką ActiveX. Wykorzystywana jest luka CVE-2012-0158. Dodatkowo pojawiają się przypadki użycia wykradzionych z legalnych firm ich certyfikatów. Wszystko, aby nadać większej wiarygodności. W momencie uruchomienia wykorzystuje się lukę MSCOMCTL.OCX RCE i jeśli wszystko się powiedzie, rozpoczyna się wykonywanie szkodnika.

Aby w pełni oszukać użytkownika otwierany jest zabezpieczony dokument ostrzegając, że jest to niemożliwe rzekomo z powodu przestarzałej wersji. W celu uniknięcia zakażenia, konieczne jest posiadanie najnowszej wersji pakietu.

Szkodnik składa się z trzech części: rc.exe, rc.dll oraz rc.hlp. Najpierw uruchamiany jest rc.exe który do prawidłowego funkcjonowania potrzebuje rc.dll. Dopiero ta biblioteka uruchamia właściwy plik rc.hlp.

Cały mechanizm jest tak stworzony, aby na początku uruchomić całkowicie niewinny, zaufany program, który sam w sobie nie jest w ogóle szkodliwy, a który pośrednio uruchomi to co jest faktycznym zagrożeniem.

źródło: cybersecurity.ru