Speciálně vytvořený. HWP soubor používaný pro korejské kampaně cílené

Před několika týdny jsme byli upozorněni našimi kolegy z Koreje do speciálně vytvořeného dokumentu aplikace Word Processor Hangul písm. HWP), která využívá aplikace chybu zabezpečení v aplikaci Office Hancom software zpracování textu. . Příponu souboru HWP je populární korejský textový procesor, formát souboru - ten správný formát pro cílení korejské potenciální oběti, což může být případ.

Detekován jako TROJ_MDROP.ZD tento speciálně vytvořený dokument přišel jako přílohu e-mailu, který používal v poslední době případ vraždy v Koreji jako sociální inženýrství trik. E-mail byl odeslán k četným zaměstnancům prominentní korejské společnosti.

Po otevření škodlivý přílohu, TROJ_MDROP.ZD využívá stále neznámé zranitelnosti s cílem odstranit a provést backdoor BKDR_VISEL.FO na pozadí. Tento backdoor poskytuje vzdálený přístup k potenciálním útočníkem, který může provádět škodlivé rutiny na infikovaný počítač. Na základě naší analýzy, BKDR_VISEL.FO také ukončí procesy spojené s konkrétními antivirových programů, takže jeho detekce a odstranění obtížné. Backdoor také stahuje a spouští další škodlivé soubory, takže ohrožena systém citlivý na další infekci a odcizení dat.

Po popravě, TROJ_MDROP.ZD nahradí se s non-škodlivý. Dokumentu HWP, aby se uživateli zabránit podezření z jakékoli škodlivou činnost. Tento dokument obsahuje následující vějička korejský text:

Recon pro budoucí útoky

Soudě podle profilu cílové společnosti, může být úspěšný infekce vést k masové krádeže osobních údajů svých zákazníků. Přidejte k tomu, že. HWP je korejský vlády de facto standard wordprocessor formát, co lze vidět nyní je průzkumná fáze budoucnosti, větší, regionální útok.

Díky tomuto incidentu, můžeme být svědky útočníky postupně využívajících chyb v místní aplikace. Hancom úřad také není první svého druhu, aby mohly být zneužívány útočníky. Již dříve jsme ohlásil případ kde uživatelé se zlými úmysly zneužíval zranitelných míst nalezené v japonském jazyce textový procesor Ichitaro . Úspěšném zneužití vedou k instalaci backdoor. Oba případy dokazují, že použití regionální software nezaručuje nepřítomnost malware útoků. V tomto případě Textový procesor prodejce, který přijal zvláštní modul třetí strany, které mohou být obsažené zranitelnosti, musí věnovat pozornost informacím CVE průmyslu příliš a připravte se na aktualizaci.

To vyzdvihuje význam bezpečnosti, speciálně pro organizace, jejichž služby patří ukládání informací o zákaznících.Úspěšný kompromis, na organizaci nejen staví své zákazníky v ohrožení, ale také snadno zakalí jejich pověst.Naštěstí v tomto případě byly správné kroky ke zmírnění vykonán okamžitě. Musíme však zůstat ostražití, neboť to není naposledy, co budeme svědky hrozeb tohoto druhu.

Trend Micro chrání uživatele před touto hrozbou pomocí Trend Micro Smart Protection Network ™, který detekuje a odstraňuje související malware. Je také blokuje související zprávy a brání i dosažení schránek uživatelů.

Budeme aktualizovat blogu jakmile dostaneme další podrobnosti o uvedené zranitelnosti.

S dalšími poznatky z Thomas Park

Aktualizace v květnu 25, 2012 3:23 am PST

Na základě naší analýzy, TROJ_MDROP.ZD spouští přetečení vyrovnávací paměti, která vychází z plug-in souboru HNCTextArt.hplg, který HWP.EXE používá pro zpracování souborů HWP. HNCTextArt.hplg obsahuje kód, který zkopíruje celou řetězec znaků, včetně nulové ukončení charakteru, od zdroje k cíli. Zdrojový řetězec musí obsahovat nulový znak ukončena. V případě tohoto škodlivého souboru HWP, široká řetězec znaků kopírování neobsahuje řekl null ukončen charakter, což v nekonečné smyčce.

Z tohoto důvodu HNCTestArt.hplg zkopíruje data, dokud výjimce. To spustí škodlivý kód shell uvnitř škodlivého souboru HWP. Řekl kód dešifruje, kapky, a provede soubor PE a non-škodlivý HWP soubor, který slouží jako návnada.

Předstíraná Pinterest čepy vést k Průzkum podvody

Pokračující nárůst v návštěvníků Pinterest stránkách mohou být hlavní příčinou, proč se to stává hit pro podvody zločinci států a plány. V březnu jsme spatřili scammers pomocí populárních značek nalákat uživatele na "připnout" falešné příspěvky, které vedly k průzkumů podvody. Tato nová vlna šetření podvodů jsem našel přišel z mého vyhledávání pomocí "pinterest" jako klíčové slovo.

Uživatelé, kteří znovu připnout příspěvky z výše uvedeném příkladu bude s největší pravděpodobností rozšíří místo.

Kromě toho jsem také zahlédl příspěvky pomocí URL shorteners jako je bit.ly a goo.gl. Po kliknutí zkrácené URL / falešné příspěvky vedou k některému z následujících adresách:

• http://pinterest.co {} BLOKOVÁNA t.info /? 419
• http://pinterest.com- {} BLOKOVÁNA key.info / poděkování / fb /
• http://pinterest.co {} BLOKOVÁNA s.info
• http://pinterest. {} BLOKOVÁNA one.info
• http://pinterestgift. {} BLOKOVÁNA hing.info
• http://pinterests týden {} BLOKOVÁNA onus.info

Po kliknutí na odkaz je uživatel přesměrován na Pinterest podobné ceny webových stránek nabízející, voucherů, dárkové poukazy a další:

Vyrobeno podobat jako typický Pinterest webové stránky, falešný web nabízí vyhledávací pole, přidat více let, asi. To jsou však pouhé obrázky a nejsou kliknout. V klikací odkazy jsou ty, které přesměrování na zjišťování podvodů, jakoQuiz tělo Age .

Poté, co uživatel vyplní pole požadované v podvod stránce jsou uživatelé vyzváni k zadání svých mobilních čísel.Uživatelé, kteří poskytují svá čísla obdržíte kód na svých mobilních telefonů a bude nadále dostávat nevyžádanou poštu, poplatky a jiné podvody přes SMS.

A e-mailem, příliš

Další věc, kterou jsem si všiml, je, že falešná stránka vyžaduje e-mailovou adresu:

Uživatelé vstupují do své e-mailové adresy jsou vyvedeny dokončit několik kroků k získání předpokládaného nabídku. Uživatelé obdrží e-mail údajně zaslaný Pinterest. Napsat vyzývá uživatele ke kliknutí na odkaz nalezené v těle zprávy potvrdit předplatné. Kliknutím na odkaz přesměruje uživatele na Pinterest-jako podvod stránce. Opět platí, že všechny klikací odkazy vedou na stejné podvod stránkách.

Při bližším zkoumání těchto útoků, všiml jsem si, že než uživatelé přesměrováni na falešné Pinterest stránek, připojení prochází ad sledování stránek. Tímto způsobem se počet návštěvníků sledovat, stanovení předpokládané příjmy o podvodníky. Na základě našich dat, jsou falešné Pinterest URL navštěvují od 2. května. Falešné Pinterest příspěvků hosting podvody mohou šířit do Pinterest přes uživatele, kteří znovu připnout příspěvky. Se "nabízí" v těchto falešných Pinterest příspěvků vypadají nalákat po všem. Navíc, někteří uživatelé by se mohli ptát, zbytek Pinterest komunity ověřit takové nabídky, jako tohoto uživatele .

Zprávy o smrti Beastie Boy Adam Yauch je vede k Malware

Demise Beastie Boys Adam Yauch (také známý jeho přezdívkou MCA) rezonovali mezi fanoušky hip hop v posledních dnech. Je smutné, že jsme viděli určitý útok, který se zaměřuje zvláštní příjemce a používal tento novinka jako sociální inženýrství návnady.

Zjistili jsme, e-mailovou vzorek, který bude využívat Yauch smrt lákat uživatele ke stažení a otevření škodlivý přílohu.Zpráva se objeví jako novinka z neziskové organizace, která se vyznačuje zesnulého hudebníka nedávný odchod.Obsahuje také DOC souboru přílohy, která by měla obsahovat kompletní příběh. Uživatelé, kteří stáhnout a otevřít DOC přílohu skutečně provedením malware, pomocí detekčního Trend Micro jako TROJ_DROPPR.JET . Tento soubor Trojan klesne další škodlivý soubor detekován jako zejména TROJ_SWYSYN.SME , který se připojuje k možnému škodlivému URL.

Položek Celebrity novinky, ať už věcné nebo ne, byli hlavní návnada v cybercriminal útoků. Adam Yauch smrt je jen jedním z několika webových hrozeb, které využili k smrti slavných hudebních ikon. Podobné hrozby patří řetězecclickjacking útoků , které používaly demisi Whitney Houston a Amy Winehouse , a dokonce i Lady Gaga je údajné smrti.

Trend Micro uživatelé nemusí obávat, protože jsou chráněny prostřednictvím funkce Smart Protection Network ™, , který detekuje a odstraňuje související malware a blokuje spam s nebezpečnými přílohami s jeho souboru a e-mailové pověsti technologie. Chcete-li vědět více o tom, jak útočníci využít pozoruhodných novinových článků např. celebrity drby a novinky a dalších triků sociálního inženýrství, můžete si přečíst naše komplexní e-průvodce "Jak sociální inženýrství funguje" .