Bár többször lelepleződött, a BlackEnergy folytatja tevékenységét és jelentős veszélyt képvisel.
2015 közepe óta a csoport már aktívan használja a hálózatban lévő számítógépek megfertőzésére a célzott adathalász e-maileket, amelyek makrókkal ellátott, rosszindulatú Excel-dokumentumokat tartalmaznak. Ez év januárban a Kaspersky Lab kutatói felfedeztek egy új rosszindulatú dokumentumot, amely a BlackEnergy trójai programmal fertőzi meg a rendszereket. Ellentétben a korábbi támadásoknál használt Excel dokumentumokkal, ez egy Microsoft Word-dokumentum volt.
A dokumentum megnyitásakor megjelenik egy párbeszédablak, amely azt ajánlja a felhasználónak, hogy engedélyezze a makrókat a tartalom megtekintése érdekében. A makrók engedélyezése elindítja a BlackEnergy malware-rel való megfertőzést.
Forrás: www.hirado.hu
Amikor a trójai aktiválódik az áldozat számítógépén, alapvető információkat küld el a fertőzött gépről a parancs és vezérlő (C&C) szerveréhez. A rosszindulatú program által továbbított egyik mező tartalmaz egy karakterláncot, amely az áldozat azonosítójának tűnik. A Kaspersky Lab kutatói által elemzett dokumentum a „301018stb” azonosítót tartalmazta, ahol az „stb” az ukrán STB televíziócsatornára utalhat. Ezt korábban, 2015 októberében a BlackEnergy egyik áldozataként azonosították.
A fertőzést követően további rosszindulatú modulok töltődnek le. A használt trójai változattól függően ezek funkciói eltérhetnek egymástól, és a számítógépes kémkedéstől az adatok törléséig terjedhetnek.
