Еще в марте 2016 года жертвами подобных атак стали торговые предприятия, а также представители ресторанного и гостиничного бизнеса. Вредоносная компания осуществлялась с помощью фишинговых писем, содержащих документ Microsoft Word со встроенными макросами. После активации эти макросы загружали на систему жертвы вредоносный дроппер FireEye как PUNCHBUGGY.
Отметим, PUNCHBUGGY представляет собой динамически подключаемую библиотеку в двух версиях – 32-битной и 64-битной. С помощью данного загрузчика, способного получать по HTTPS-протоколу дополнительный код, злоумышленники взаимодействовали с инфицированными системами.
Уязвимость CVE-2016-0167, затрагивающая часть графической подсистемы win32k, позволяла атакующим повысить свои привилегии ПО загружалось обфусцированным дроппером и не сохранялось на диске. Как сообщают специалисты, использование загрузчика PUNCHBUGGY в паре с ПО PUNCHTRACK было зафиксировано только в данных инцидентах.
.jpg)
