Изначально интернет-сообщество опиралось на отчёт о новой 0-day уязвимости, опубликованный компанией FireEye. В нём сообщалось, что в результате её успешной эксплуатации на компьютер были загружены несколько файлов. Анализ экспертов Symantec подтверждает такую возможность.
Атака проходит следующим образом:
1. Вредоносный PDF-файл устанавливает DLL-библиотеку под названием D.T;
2. D.T декодирует и устанавливает DLL-библиотеку под названием L2P.T;
3. L2P.T создает в реестре ключи автозапуска и загружает на компьютер библиотеку-загрузчик LangBar32.dll;
4. LangBar32.dll с сервера злоумышленников скачивает дополнительное вредоносное ПО с бэкдор- и кейлоггер-функционалом.
На этих этапах атаки продукты Symantec идентифицируют вредоносные программы как Trojan.Pidief и Trojan.Swaylib (изначально − как Trojan Horse). Помимо этого, с целью выявления данного эксплойта было выпущено дополнительное определение (сигнатура) для системы предотвращения вторжений (IPS) Web Attack: Malicious PDF File Download 5.
Специалисты Symantec продолжают изучать данную уязвимость и возможности блокирования данного канала для проведения атак. В целях обеспечения максимальной защиты от потенциальных атак нулевого дня эксперты настоятельно рекомендуют использовать последние разработки подразделения Security Technology and Response компании Symantec.
