Primeiramente o malware executa uma pesquisa via navegador do usuário por versões do Flash, verifica se vários pacotes de anti-vírus está em execução, verifica por instalações do Java e suas versões, versões do Office da Microsoft, e os plugins para PDF. A seguir ele popula os resultados dessa pesquisa no site de onde o script veio e, de acordo com a AlienVault, tenta usar um exploit de 2012 contra as versões 6, 7 e 8 do Internet Explorer. Se bem sucedido, ele irá instalar de forma permanente um executável que se conecta com outra rede de comando-e-controle (C&C, do Inglês "Command-and-Control"). O mesmo também disfarça suas chamdas para a rede C&C se fazendo parecer de requisições GET via CGI em um sistema de fotos. A AlienVault disse que a assinatura desse disfarce casa com o DeepPanda, um conhecido player Chinês e aponta para uma análise (arquivo PDF) desse tipo de ataque.
Embora o ataque seja real, parece que, caso o usuário não interaja com o site pedindo compensação por alguma doença ocupacional após ter trabalhado para a indústria de energia, os mesmos não terão contato com esse malware. Esse parece ser mais um caso de um site web governamental de baixo escalão sendo comprometido.
Saiba Mais:
- Heise Online: Sub-site of US Department of Labour hacked (em Inglês)