A BlackEnergy trójairól készített első jelentések 2007-ben láttak napvilágot, és ezen elemzésekben az Arbor Networks mint viszonylag egyszerű DDoS trójait írja le. Az elmúlt időben ez a kártevő is modern típusú rosszindulatú programmá alakult át, amely spamek küldésére és online banki csalásokra specializálódott. A malware ezen második típusát először 2010-ben fedezték fel, és a BlackEnergy idei szeptemberi felbukkanása is azt jelzi, hogy még mindig, évek múlva is aktív és veszélyes.
Hogyan működik?
A kártevő terjesztéséhez legutóbb jellemzően olyan adathalász e-maileket küldözgettek a támadók, amely valamilyen érdekes információt ígértek az ukrán válsággal kapcsolatban, ám a levelek mellékletébe az CVE-2014-1761 sebezhetőséget kihasználó rosszindulatú Microsoft Office dokumentumokat helyeztek például olyan hamis hírrel, hogy abban állítólag orosz nagykövetek bizalmas beszélgetését lehet olvasni.
Az ESET vizsgálata szerint több mint száz esetben történt hasonló kísérlet lengyel és ukrán állami szervezetek, különféle cégek, vállalkozások ellen hasonló csali Word dokumentumokkal. Emellett rosszindulatú Power Point állományok, illetve Java sebezhetőséget kihasználó kódok is napvilágot láttak már, továbbá egy „jelszavak listája” nevű csalogató ZIP fájlt is elküldtek. Ez utóbbinál nem lehet pontosan eldönteni, hogy ez is a támadás része-e, vagy csak hibáztak, és mellényomtak a támadók.
