Autor: ScheRas | 11.11.2013 |
Útok má víceméně stejný průběh jako jiné podobné podvodné kampaně. Jediný rozdíl je v tom, že místo obvyklého spustitelného souboru, nebo v lepším případě exploitu maskovaného jako pdf, spam obsahuje celkem nevinně vyhlížející RTF soubor nazvaný "Comprovante_Internet_Banking.rtf".
Při otevření souboru se v dokumentu zobrazí náhled obrázku se zprávou "Klikněte pro zvětšení". Nepochybuji o tom, že každého z vás napadne, co se při kliknutí stane. Ano správně. Místo zvětšení obrázku vyskočí na uživatele požadavek povolení spuštění CPL souboru. A ano, jedná se o malware. Podle Kaspersky Lab jde o Trojan.Win32.ChePro, brazilský bankovní trojan napsaný v Delphi.
Jak se zločincům podařio malware do dokumentu dostat? Útočníci jednoduše využili funkci na vložení objektů do RTF dokumentu.