ESET a identificat și a analizat noul cod malware folosit de Turla – un grup notoriu de spionaj cibernetic, sponsorizat de entități de stat – ce vizează organizații politice importante din Europa de Est. Acest nou instrument, dezvăluie ESET, încearcă să determine victimele potențiale să instaleze secvențe software (dovedite malware) din surse care impersonează fraudulos site-ul Adobe, cu scopul de a sustrage după compromiterea PC-ului, informații sensibile deținute de țintele vizate de Turla.
În timp ce grupul Turla s-a bazat pe programe de instalare false pentru a determina utilizatorii să instaleze în trecut un backdoor, aceasta este prima dată când programul rău intenționat este descărcat din URL-urile aparent legitim legate de Adobe. ESET are totuși încredere că programul malware Turla nu a compromis în nici un fel actualizările legale.
După ce a monitorizat îndeaproape grupul Turla pentru o lungă perioadă de timp, ESET a constatat că acest cod malware nu numai că este împachetat cu un instalator legitim Flash Player, dar, de asemenea, pare să fie trimis din partea adobe.com. Din perspectiva endpoint-ului, adresa IP remote aparține Akamai, rețeaua oficială de livrare a conținutului (CDN) utilizată de Adobe pentru a distribui programul legitim de instalare Flash.
Cu toate acestea, la o inspecție mai atentă, ESET a putut vedea că acest Flash installer fals execută o solicitare GET pentru a extrage informații sensibile din noile sistemele compromise. Telemetria ESET a dezvaluit că programele de instalare Turla au extras informații în relație cu url-ul get.adobe.com încă din iulie 2016. Folosirea domeniilor legitime pentru subtilizarea datelor face ca detectarea lor în traficul de rețea să fie mult mai dificilă pentru sistemele de protecție.