Την έρευνα τους σχετικά με το trojan BlackEnergy παρουσίασαν τον περασμένο μήνα κατά το συνέδριο Virus Bulletin στο Σιάτλ οι ερευνητές της ESET. Σύμφωνα με αυτή, το trojan έχει εξελιχθεί σε ένα κακόβουλο εργαλείο με στόχο την κατασκοπεία σε Ουκρανία και Πολωνία. Ένα νέο άρθρο του ερευνητή Robert Lipovsky στο WeLiveSecurity.com αποκαλύπτει περισσότερες πληροφορίες για το 0-dayvulnerability στο Microsoft PowerPoint που χρησιμοποιήθηκε από αυτό το malware για να μολύνει τα θύματά του.
«Σε εκστρατείες του Αυγούστου 2014, αρκετά υποψήφια θύματα είχαν λάβει spear-phishing emails. Το κείμενο του e-mail είχε γραφτεί με τέτοιο τρόπο ώστε να τραβήξει την προσοχή των παραληπτών δίνοντας τον τίτλο « Επαναστάτες στα Ανατολικά της Ουκρανίας» εξηγεί ο Lipovsky.
Τα θύματα έλαβαν ένα ύποπτο email με ένα κακόβουλο αρχείο PowerPoint και την παρότρυνση να ανοίξουν το συνημμένο. Αφού το θύμα άνοιγε το συνημμένο, εμφανιζόταν μία λίστα ονομάτων στα Ουκρανικά. Ταυτόχρονα, κατέβαιναν αυτόματα δύο αρχεία από μία μη έμπιστη δικτυακή τοποθεσία. Το αρχείο, με την ψεύτικη εμφάνιση ενός .gif, δεν ήταν εικόνα αλλά ένα Litedropper του BlackEnergy, ενώ το άλλο αρχείο χρησίμευε για να ξεκινήσει τη διαδικασία εκτέλεσής του.
«Λειτουργικά, παρόμοια exploits είναι γνωστά τουλάχιστον από το 2012 αλλά δεν είχαν παραβιαστεί σε μεγάλο βαθμό. Η ESET αφού εντόπισε το συγκεκριμένο να χρησιμοποιείται από κακόβουλο λογισμικό για εξάπλωση «in-the-wild» το επισήμανε στη Microsoft στις 2 Σεπτεμβρίου 2014. Πλέον, το τρωτό αυτό σημείο έχει αναγνωριστεί ως CVE-2014-4114. Η Microsoft για την αντιμετώπιση του έχει βγάλει patch, το οποίο συμβουλεύουμε όλους τους χρήστες να εγκαταστήσουν, ώστε να κλείσουν αυτή την τρύπα ασφάλειας όσο πιο άμεσα γίνεται» καταλήγει ο Lipovsky.
Το BlackEnergy αναλύθηκε δημόσια για πρώτη φορά από την Arbor Networks το 2007 ως ένα σχετικά απλό trojan DDoS. Από τότε, εξελίχθηκε σε ένα μοντέρνο είδος με αρχιτεκτονική διαρθρωμένη ειδικά για την αποστολή spam και την εξαπάτηση χρηστών σε online τραπεζικές υπηρεσίες. Η δεύτερη εκδοχή του επικίνδυνου αυτού malware καταγράφηκε για πρώτη φορά το 2010 από τη Secure Works.
