3291 
Эксперты «Лаборатории Касперского» рекомендуют не открывать вложения, связанные с темами о мужском здоровье, военной тематики и файлы, имена которых набраны кириллицей. Это предостережение связано с целым рядом очень схожих целевых атак, блокируемых продуктом «ЛК» Linux Mail Security, которые сотрудники наблюдали в течение последних нескольких месяцев.
В каждом случае использовались документы RTF и эксплойт CVE-2012-0158 (MSCOMCTL.OCX RCE уязвимость). По всей видимости, нападения совершались одной и той же группой и были направлены в большинстве случаев из Австралии и Республики Корея. Как отмечают эксперты, IP – адреса варьируют, но многие файлы были отправлены через домен, зарегистрированный в Китае.
Во всех зараженных документах, как правило, использовались одни и те же эксплойт, шеллкод и вредоносные программы. Вредоносами, выявленными в этих документах, являются варианты Enfal / Lurid. Были обнаружены wordupgrade.exe как Trojan-Dropper.Win32.Datcaen.d и usrsvpla.dll как Trojan.Win32.Zapchast.afv.
Вредоносы, используемые в нападениях, являются мало известными, например, Enfal, варианты которого были впервые замечены в 2006 году, или новыми. В последнее время атаки эти стали носить регулярный характер, поэтому с целью безопасности следует игнорировать вложения с указанными темами.