卡巴斯基实验室研究人员指,利用Flash漏洞的方法是将Flash嵌入到文档里作为电子邮件附件分发。
新发现的Flash漏洞迫使Adobe公司发布Flash播放器紧急补丁。据防病毒厂商卡巴斯基实验室的研究人员介绍,此Flash漏洞可用于针对性攻击,以分布恶意软件窃取电子邮件的登录资料和其他在线服务的私人资料。
Adobe周二发布适用于Windows、Mac和Linux的Flash新版本,以应对一远程执行代码漏洞。Adobe公司表示,坊间有人利用此漏洞达到不可告人的目的。卡巴斯基实验室的研究人员Alexander Polyakov和Anton Ivanov是发现并将此漏洞公诸于世的人。
卡巴斯基实验室的研究人员Alexander Polyakov和Anton Ivanov周三在他们的博客文章里报告他们的发现时表示,共发现十一个利用此Flash漏洞的SWF(Flash)文档,但其中只有一个SWF文档含有可执行文件的有效载荷。
.其他 SWF攻击文件都是设计成用来执行一个文件的,文件是作为参数由URL传给这些SWF文件,但Alexander Polyakov和Anton Ivanov不能确定攻击者实际用到的URL或者URL指向的文件。
Alexander Polyakov和Anton Ivanov表示,SWF文件是嵌在docx文档——Microsoft Word文档——里,这些Microsoft Word文档的档名是韩文的,但却是在中国大陆的电脑上发现这些文档的。
其中的一个恶意docx文件是作为附件发到一个163.com的注册电邮地址的。163.com是中国的一个电子邮件提供商。恶意文件在一台Mac OS 10.6.8电脑上被一个电子邮件客户端打开过。不过,恶意文件的设计目标显然是Windows用户。
另外两个恶意docx文件是在Windows 7机器上的网络浏览器缓存里发现的,具体地说,是一个名为搜狗浏览器的中国浏览器缓存里。卡巴斯基的两名研究人员表示,这并不意味着这些恶意文件不是通过电子邮件发送。
唯一的有效载荷由一可执行文件组成,该执行文件作为下载器下载其他的恶意软件。卡巴斯基的研究人员找到两个这样的恶意软件。
卡巴斯基的研究人员指,其中的一个恶意软件专门用于盗取保存于安装在本地的程序里的登录资料,包括Foxmail、OperaMail、Opera、Mozilla的火狐、Safari、IncrediMail,Pidgin和Thunderbird。此恶意软件还会盗取各种输入到网站上网页表单上的数据,其中许多网站是网络邮件提供商。目标网站包括:Twitter,Facebook,雅虎,谷歌,Live.com,AOL.com,Yandex,Mail.ru,gmx.com,fastmail.com,163.com,lycos.com,mail.com,ZOHO.com以及其他网站。
Alexander Polyakov和Anton Ivanov表示,另一个恶意软件是个后门程序,与上述的第一个恶意软件一起运作。后门程序会连接到三个命令暨控制(command-and-control)服务器,下载别的隐藏有DLL文件的JPEG图像文档。
卡巴斯基的两名研究人员说,“我们正在继续跟踪这个自动程序的活动。”
网友评论