研究人员：通过Flash Player分发的监视恶意软件利用

周二，卡巴斯基实验室研究人员透露了更多信息了解他们最初如何发现漏洞。 “在监控由意大利HackingTeam公司创建的所谓”合法“监控恶意软件时，CVE-2013-0633的漏洞已被观察到。”Golovanov在一篇博客文章中表示。<进一步阅读：如何清除恶意软件您的Windows PC]

HackingTeam总部位于米兰，同时在安纳波利斯，马里兰州和新加坡也有分支机构。据其网站称，该公司开发了称为远程控制系统（RCS）的计算机监控程序，出售给执法机构和情报机构。

“在HackingTeam中，我们认为打击犯罪应该很容易：我们提供有效，轻松该公司在其网站上称：“卡巴斯基实验室一直在监控HackingTeam的RCS（也被称为DaVinci），自2012年8月以来，卡斯帕斯基总监Costin Raiu表示， Lab的全球研究和分析团队

RCS / DaVinci可以记录来自不同聊天程序的文本和音频对话，包括Skype，Yahoo Messenger，Google Talk和MSN Messenger;可以窃取网页浏览记录;可以打开电脑的麦克风和摄像头;可以窃取存储在浏览器和其他程序中的凭证，等等。“卡巴斯基研究人员迄今已经发现了大约50起事件，其中包括达芬奇被用来对付包括意大利，墨西哥，哈萨克斯坦，沙特阿拉伯，土耳其，阿根廷，阿尔及利亚，马里，伊朗，印度和埃塞俄比亚。Raiu说，最近一次利用CVE-2013-0633漏洞的攻击是针对来自中东一个国家的活动分子。然而，他拒绝透露国家名称，以避免泄露可能导致受害者身份的信息。

不清楚CVE-2013-0633的零日漏洞利用是否由HackingTeam与监视恶意软件一起出售或者购买该程序的人从不同的渠道获得了漏洞，Raiu说。

HackingTeam没有立即回应评论请求。

在之前由卡巴斯基实验室检测到的攻击中，DaVinci通过针对Flash Player Rauu表示，Vupen公开承认销售零日漏洞，但声称其客户是政府和执法机构，来自属于北约成员或合作伙伴的国家的政府和执法机构，ANZUS或东盟地缘政治组织。

在攻击的第一阶段，DaVinci安装程序在CVE-2013-0633漏洞利用计算机上丢弃，并且签署了有效的数字证书问题d由GlobalSign给名为Kamel Abed的个人，Raiu说。

GlobalSign没有立即回应有关此证书及其当前状态的更多信息的请求

这与DaVinci过去的攻击是一致的，Raiu说，在这次攻击中，Dropper也进行了数字签名。他表示，以前用于签署达芬奇滴管的证书已经注册到Salvetore Macchiarella和一家名为OPM Security的公司注册在巴拿马。

根据其网站，OPM Security以200欧元（267美元）的价格销售名为Power Spy的产品。标题是“监视你的丈夫，妻子，孩子或雇员”.Power Spy的功能列表与DaVinci的功能列表非常相似，这意味着OPM可能是HackingTeam监控程序的转售商，Raiu说。而不是合法监视恶意软件被用于对言论自由受限的国家的活动家和持不同政见者的第一起案件。

之前有报道称，FinFisher是由英国公司Gamma Group International开发的计算机监视工具包，巴林政治活动家

多伦多大学蒙克全球事务学院市民实验室的研究人员也在10月份报告称，HackingTeam的RCS（DaVinc i）计划被用于反对来自阿拉伯联合酋长国的维权人士。

Raiu说，这种计划是一个定时炸弹，因为缺乏监管和不受控制的销售。一些国家对加密系统的出口有限制，理论上这些系统会覆盖这些程序，但是这些限制可以通过通过境外经销商销售软件而轻易绕过，他说。最大的问题是这些程序可以不使用Raiu说，只有政府可以监视自己的公民，但也可以被政府用来监视其他政府或者可以用于工业和企业间谍活动。

当这些计划被用来攻击大公司或被用于Raiu问道：“从卡巴斯基实验室的角度来看，毫无疑问，这些程序将被视为恶意软件，无论其目的是什么，”他说。