Хакеры использовали справочные файлы Windows для атак на госучреждения

Специалисты компании Symantec обнаружили направленные кибератаки, осуществляемые с использованием файлов справочной системы операционной системы Windows Help (*.hlp).

Атаки прежде всего направлены против промышленного и правительственного секторов, а используемые в них вредоносные *.hlp-файлы идентифицируются как Bloodhound*.hlp.1 и Bloodhound*.hlp.2.

По мнению специалистов, использование файлов помощи для направленных хакерских атак связано с тем, что для успешного осуществления подобных атак нет необходимости применять эксплойты: достаточно приемов социальной инженерии.

В частности, злоумышленники обманом заставляют пользователя открыть соответствующий *.hlp-файл, который отправляется жертве по электронной почте, а функционал файлов справки запускает Windows API, который, в свою очередь, позволяет осуществить запуск шелл-кода, а также установку файлов, обеспечивающих основной функционал вредоносной программы. Таким образом, это не эксплойт, а изначально заложенная функция.

Отметим, что компания Microsoft знает об этой проблеме еще с 2006 года и постепенно отказывается от поддержки данного формата, однако это не заставило злоумышленников отказаться от использования *.hlp в качестве оружия для кибератак.

Карта активности Bloodhound*.hlp.1 и Bloodhound*.hlp.2. Фото с сайта symantec.com