Эксперты фирмы FireEye, специализирующиеся на проблемах информационной безопасности, выявили несколько кампаний по рассылке писем с документами в формате Microsoft Word, зараженными вирусом, использующим ранее неизвестную уязвимость в программе Word. При открытии документа с сервера загружается и запускается скрипт на языке Visual Basic, который затем загружает на компьютер дополнительные компоненты шпионской программы. Специалисты установили, что эти компоненты принадлежат программе FINSPY (или FinFisher), разработанной англо-германской компанией Gamma Group для государственных организаций. По оценкам исследователей Citizen Lab, программа FinFisher используется спецслужбами по крайней мере тридцати трех стран.
Один из зараженных документов называется СПУТНИК РАЗВЕДЧИКА.doc и содержит версию широко известного учебника по военной подготовке, якобы опубликованную в Донецкой народной республике. Еще один документ под названием prikaz.doc содержит якобы приказ минобороны России относительно лесного хозяйства.
Рассылки идут по крайней мере с января этого года и начались задолго до того, как в Microsoft получили сведения об уязвимости в программе Word. 11 апреля корпорация выпустила исправление.
