Múlt héten derült ki, hogy a Microsoft Word egy sérülékenységén keresztül könnyen juttathatók vírusok a felhasználók számítógépére olyan módon, hogy azokat egy átlagosnak tűnő RTF fájlban bújtatják el a támadók. Igaz, a Microsoft kedden kiadta az ehhez szükséges javítást, ám sorra kerülnek felszínre az ezzel kapcsolatos korábbi esetek.
A FireEye biztonsági cég szerint egy ismeretlen, feltehetően államilag szponzorált hackercsoport orosz célpontok után kémkedett ilyen módon. Míg az átlagos hackerek általában a nem túl kreatív „!!!!SÜRGŐS!!OLVASDEL” jellegű címekkel próbálták rávenni az áldozatokat a fertőzött doksik megnyitására, addig a szponzorált támadók kifinomultabb megoldást választottak. Olyan címekkel csalták tőrbe az áldozatokat, mint a „top 7 legforróbb hacker csaj”, vagy azzal, hogy az orosz Védelmi Minisztérium katonai kézikönyvét kapták meg.
Amint az áldozatok letöltötték és megnyitották a fertőzött csatolmányt, amit a FinFisher nevű cég fejlesztett. Ez azon cégek közé tartozik, akik üzletszerűen kereskednek hacker- és kémtechnológiákkal világszerte, jellemzően kormányok számára adnak el erőteljes szoftvereket. 2015 végén már 32 ország szerepelt megrendelőik közt, Magyarország is. Erre 2014-ben derült fény, amikor egy hacker leleplezte a gyártót.
A pénzszerzési céllal támadó kiberbűnözők a LATENTBOT nevű malware-t használták, de bevetették a Dridex nevű kártevőt is, ami jellemzően bankkártyaadatokat lop.
A FireEye szerint nagy rá az esély, hogy aki felfedezte a sérülékenységet, egyaránt terjesztette azt pénzügyi haszon céljából támadó hackereknek, a FinFishernek, és a kormányzatoknak is, így egy valódi ökoszisztéma épült köré.
