Исследователи обнаружили новый "итальянский" троян удаленного доступа

Известные ИБ-эксперты, а также исследовательская группа Unit 42, компании Palo Alto Networks, обнаружили новый RAT, который получил название uWarrior. Троян удаленного доступа распространяется под видом .RTF документа. Вредонос содержит эксплоит к двум старым уязвимостям (CVE-2012-1856 и CVE-2015-1770), позволяющим удаленное выполнение кода. Первая брешь, обнаруженная в 2012 году, которая затрагивала Windows Common Controls MSCOMCTL.OCX, начала снова эксплуатироваться хакерами в возвратно-ориентированном программировании для обхода ASLR.

Согласно данным исследователей, вредоносный .RTF документ содержит множество объектов OLE, которые могут быть использованы для эксплуатации брешей. После инфицирования устройства, троян копирует себя в другую локацию на системе, записывает информацию на локальный файл, и связывается с C&C-сервером через сжатый, зашифрованный, сырой TCP сокет и двоичный протокол.

Специалисты отметили, что uWarrior содержит некоторые компоненты другого трояна, известного как ctOS. Оба вредоноса включают в себя аналогичные конфигурационные структуры, несколько одинаковых функций, кодов и даже строчки на итальянском языке. Именно поэтому исследователи называют этот троян "итальянским".