Лаборатория Касперского нашла несколько новых уязвимостей во флэш после тщательного тестирования его в "дикой природе". эксперт Kaspersky Вячеслав Закорчевский сказал, что уязвимость находится в компоненте Pixel Bender, предназначенном для обработки видео и изображений. Компания получила образец первой уязвимости 14 апреля, в то время как образец второй пришел 16 апреля. Первый образец был первоначально учтен KSN 9 апреля, когда был обнаружен общей эвристической подписью.
Были многочисленные последующие обнаружения 14 и 16 апреля. Иными словами, компании удалось обнаружить ранее неизвестную угрозу с помощью эвристики. Эксплойты хранились как movie.swf и include.swf на зараженном сайе. Единственным различием между ними был их код. Второй эксплойт (include.swf) не был обнаружен с помощью того же эвристического анализа, что и первый, потому как в нем содержится уникальный шеллкод. Каждый эксплойт выглядит как незапакованный флэш видеофайл. Код Action Script внутри не был зашифрован.
Закорчевский был уверен, что программное обеспечение было разработано для выполнения вредоносных действий против очень определенной группы пользователей, не привлекая к себе внимание программ для обеспечения безопасности. Оба эксплойта, обнаруженные компанией, распространялись с сайта, расположенного по адресу http://jpic.gov.sy.
Сайт был запущен еще в 2011 году сирийским министерством юстиции и был разработан как онлайн-форма для граждан, позволяющая им пожаловаться на нарушения закона и порядка. Мы считаем, что нападение было предназначено для устранения сирийских диссидентов, жалующихся на правительство.
Сайт был взломан в сентябре 2013 года, когда предполагаемый хакер объявил об этом в своем твиттере. Вполне вероятно, что нападение было тщательно спланировано и что этим занимались профессионалы довольно высокого калибра. Использование профессионально написанных эксплойтов, которые были использованы для заражения лишь одного ресурса, свидетельствуют об этом, сказал Закорчевский.
Чтобы написать здесь комментарий необходимо