Обнаруженная разработчиками Sandworm уязвимость фигурирует в новых атаках

Троянское приложение Dyreza использует брешь для компрометации банковских организаций в Швейцарии.

Последствия Sandworm продолжают перерастать в новые вредоносные кампании. Последняя модификация банковского трояна Dyreza/Dyre вновь фигурирует в атаках на финансовый сектор, в том числе на несколько крупных банков Швейцарии. При этом в ходе нападения хакеры прибегают к эксплуатации недавно обнаруженной уязвимости в Windows OLE, позволяющей удаленное выполнение кода.

Как следует из сообщения аналитиков CSIS, текущие жертвы Dyreza изначально получили фишинговое сообщение электронной почты, замаскированное под уведомление банка. При этом в письме находилось вредоносное вложение, просмотреть которое можно с помощью PowerPoint.

Указанный файл содержал исполняемый код, эксплуатирующий уязвимость CVE-2014-4114, которую впервые начали использовать разработчики Sandworm в рамках нападений на компьютерные сети в Польше и Украине. При этом большинство C&C-серверов нападающих в настоящий момент расположены во Франции.

По мнению экспертов, Dyreza приобретает все большую популярность среди злоумышленников на фоне недавнего отключения GameOver Zeus.