ESET сообщила об обнаружении новой разновидности вредоноса MiniDuke, дающей киберзлоумышленникам абсолютный контроль над инфицированным ПК.
Функционально MiniDuke - это бэкдор, эксплуатирующий уязвимость, обозначенную индексом CVE-2014-1761 и присутствующую во всех MS Word, начиная с 2003, на которых не установлена исправляющая заплатка. Вышеуказанный баг может быть задействован и через RTF-файл.
При успешном нападении хакеры могут изменить информацию в памяти ПК, чтобы впоследствии исполнять на компьютере произвольные команды.
Также MiniDuke имеет вспомогательный файл для связи со злоумышленным сервером. Причем связь эта устанавливается не через подключение к удаленному серверу или услуги телефонной связи, а через Twitter. Управление производится с аккаунта @FloydLSchwartz. Перед получением команды MiniDuke производит поиск твитов с тегом «Х)))» (прежние модификации вредоноса искали тег «uri!»).
Обнаружив искомый тег, бэкдор проходит по имеющейся в твите ссылке, чтобы передать на командный сервер информацию об инфицированном устройстве: IP-адрес, имя ПК и домена, данные о конфигурации прокси, версию операционки и установленных антивирусах. Помимо этого, MiniDuke может загружать и устанавливать на инфицированный ПК новый вредоносный код.
