Вразливість нульового дня в Windows допомогла пограбувати десятки компаній

Фірма FireEye, що спеціалізується на комп'ютерній безпеці, виявила добре підготовлену злочинну групу, яка першою скористалася уразливістю нульового дня в Windows.

Зловмисники встигли атакувати понад сто компаній в США і Канаді - в основному, магазини, готелі і ресторани, повідомляє internetua.com.

За даними Fireeye, на першому етапі потенційні жертви піддавалися атаці методами прицільного фішингу. Вони отримували заражений документ Word, який встановлює PUNCHBABY - шкідливу програму, що дозволяє зловмисникам взаємодіяти з комп'ютером жертви і іншими машинами в її локальної мережі.

Крім того, вони застосовували троян під назвою PUNCHTRACK, що вражає касові апарати і краде дані банківських карт. Щоб уникнути виявлення, шкідлива програма не залишає слідів на жорсткому диску. Щоночі її перезапускає добре прихований завантажувач.

У деяких березневих атаках, які спостерігали фахівці FireEye, для поширення шкідливого софту використовувалася невідома раніше уразливість в Windows, що дозволяє підвищити права локального користувача. Компанія Microsoft встановила для уразливості індекс CVE-2016-0167.

Перші атаки, що експлуатують цю уразливість, вдалося зафіксувати 8 березня. 12 квітня діра була усунена за допомогою бюлетеня з безпеки MS16-039, а на цьому тижні Microsoft розповсюдила оновлення, яке додатково посилює захист Windows від атак подібного роду.

У FireEye стежать за атаками із застосуванням PUNCHBABY і PUNCHTRACK близько року і вважають, що всі вони - справа рук єдиною злочинної групи. Фахівці відзначають розмах і швидкість, з якою діють зловмисники. Тепер у них є уразливості нульового дня і ресурси для підбору жертв прицільного фішингу. Це може свідчити про те, що мова йде про досвідчених і небезпечних злочинців.