Przechwycony przez ekspertów szkodliwy plik DOC ma wiele wspólnego z zainfekowanym arkuszem XLS, który cyberprzestępcy rozpowszechniali w ubiegłym miesiącu. Podobnie jak wtedy, w dokumencie osadzono plik SWF, który otwiera „tylne drzwi” do zainfekowanego komputera, co skutkuje kolejnymi infekcjami. Szkodnik działa „po cichu”, aby użytkownik nie zorientował się, że padł ofiarą ataku.

Jak wynika z opublikowanego wczoraj biuletynu bezpieczeństwa firmy Adobe, na atak podatne są:

• Adobe Flash Player 10.2.153.1 i wcześniejsze wersje dla systemów Windows, Mac, Linux i Solaris,
• Adobe Flash Player 10.2.154.25 i wcześniejsze wersje wtyczki zintegrowanej z przeglądarką Google Chrome,
• Adobe Flash Player 10.2.156.12 i wcześniejsze wersje dla platformy Android,
• biblioteka Authplay.dll wchodząca w skład oprogramowania Adobe Reader i Acrobat X (10.0.2), a także wcześniejszych wersji (10.x oraz 9.x) dla systemów Windows i Mac.

Innymi słowy, jak słusznie zauważają redaktorzy serwisu Niebezpiecznik.pl, przestępcy znaleźli sposób na sandboxa w oprogramowaniu Adobe – po prostu osadzają złośliwe pliki SWF w dokumentach Microsoft Office, a nie PDF-ach. Potwierdza to Roel Schouwenberg, ekspert z Kaspersky Lab, który mówi: Aby walka z zagrożeniami takimi, jak najnowsza luka w Adobe Flash, mogła być skuteczniejsza, producenci oprogramowania muszą dać nam możliwość wyłączania niektórych funkcji. Osobiście nie mam potrzeby przeglądania plików Flash osadzonych w Wordzie czy Excelu i to samo zalecam innym użytkownikom.

>> Czytaj także: Programy Adobe znów pod ostrzałem

Dlaczego cyberprzestępcy do przeprowadzania ataków wykorzystują akurat pliki Microsoft Office? Odpowiedź jest prosta: ponieważ łatwo je rozpowszechniać za pośrednictwem poczty elektronicznej. Jak podaje Niebezpiecznik.pl, zainfekowane pliki o nazwie Disentangling Industrial Policy and Competition Policy.doc trafiły już nawet do wysokich rangą pracowników rządu USA.

Warto więc zachować ostrożność, otwierając otrzymane e-mailem dokumenty DOC. Jak wynika z raportu VirusTotal, zagrożenie wykrywa obecnie tylko kilka programów antywirusowych, kategoryzując je jako Trojan.Dropper (lub podobnie).