Специалисты компании FireEye зафиксировали масштабную атаку на пользователей веб-браузера Internet Explorer 10, жертвами которой стали сотни тысяч человек. Заражение происходит через уязвимость нулевого дня после посещения веб-сайта с размещенным на него вредоносным кодом. Атака получила название Operation SnowMan («Операция снежный человек») в честь проходящих в США снежных бурь.
Новая уязвимость была обнаружена спустя 2 дня после выпуска крупного обновления Microsoft, устраняющего 24 уязвимости в различных версиях Internet Explorer, включая 15 в десятой версии.
Как рассказали в FireEye, атакующие выбрали своей целью ветеранов США, поместив вредоносный код на сайт Организации ветеранов иностранных войн (vfw.org).
После того как пользователь заходит на сайт, вредоносный код загружает в фоновом режиме страницу, которая запускает объект Adobe Flash. С помощью кода ActionScript этот объект взламывает встроенный в операционную систему механизм защиты от уязвимостей ASLR (Address Space Layout Randomization), получая доступ к оперативной памяти.
После этого на компьютер жертвы сбрасывается бэкдор ZxShell. Он позволяет злоумышленникам получать удаленный доступ к системе и похищать ценную информацию.
«Бэкдор ZxShell - это общедоступный инструмент, который широко применяется множеством группировок, промышляющих шпионажем», - сообщили в FireEye. Специалисты считают, что атака Operation SnowMan была проведена теми же людьми, которые в августе 2013 г. провели атаку Operation DeputyDog и Operation Ephemeral Hydra в ноябре. Корни этих атак уходят в Китай, сообщил агентству Reuters представитель FireEye Дэриен Киндлунд (Darien Kindlund).
В Microsoft заявили, что находятся в курсе уязвимости и работают с FireEye над выпуском нового патча.
Согласно StatCounter, доля Internet Explorer 10 на рынке настольных веб-браузеров в настоящее время составляет 4,7%. Всем версиям IE в общей сложности принадлежит 24,6% рынка (второе место после Google Chrome с долей 46,6%).