Les experts en sécurité ont récemment découvert un nouveau malware conçu pour voler des informations. La menace malveillante est utilisé dans les campagnes de reconnaissance et se adresse aux entreprises de l'énergie à l'échelle mondiale. Le malware est surnommé Laziok. Ses opérations étaient assez active entre Janvier et Février, ciblant les grandes entreprises préférence au Moyen-Orient.
Sur 25% des attaques ont été détectés dans les Émirats arabes unis.
Autres pays ciblés comprennent le Koweït, Arabie Saoudite, Pakistan (sur 10% chacun des infections), suivie par le Qatar, Oman, Royaume-Uni et des États-Unis, Indonésie, Inde, Ouganda, Colombie.
Après avoir envahi les systèmes des entreprises, Laziok cheval de Troie est mis à récolter des données cruciales pour que les attaquants pourraient décider comment procéder avec la grève malveillants. Une fois la phase initiale a passé, les attaquants derrière l'infection déterminer se il faut recueillir des données de configuration ou non. Si le système ne est pas de tout intérêt, le malware arrête son attaque.
Cependant, si les cyber-criminels à trouver les données essentielles, Laziok distribue des logiciels malveillants supplémentaires, généralement téléchargée sur les serveurs au Royaume-Uni, États-Unis ou la Bulgarie. Les données primaires collectées consiste en spécifications logicielles, RAM et la taille du disque dur, GPU et CPU, et outils actuels anti-malware.
Les programmes supplémentaires sont dangereuses variations personnalisés d'autres chevaux de Troie tels que Cyberat et Zbot.
Quels types de données essentielles Est Laziok Recueillir?
Les chercheurs ont rapporté que les serveurs de Laziok sont probablement situés au Royaume-Uni, États-Unis ou la Bulgarie. Après une vaste analyse, les experts en sécurité ont conclu que la plupart des objectifs ont été connectés à l'hélium, industries du gaz et du pétrole. Ainsi, il est prudent de supposer que les assaillants ont un immense intérêt dans les projets de ces entreprises et ont soigneusement préparé leur stratégie, même si le cheval de Troie se est pas sophistiqué.
La Distribution Technique de Laziok
L'attaque initiale commence par un courriel de traitement de moneytrans.eu comme serveur sortant. Les messages infectés sont constitués d'un fichier Excel corrompu avec un exploit pour CVE-2012-0158. CVE-2012-0158 est une vulnérabilité commune dans le ListView / Le contrôle ActiveX TreeView. Il fait partie de la bibliothèque MSCOMCTL.OCX et permet l'accès à distance et l'exécution de code malveillant.
Le bug a été exploitée et qu'on dit d'affecter les versions de Microsoft Office 2003 à 2010.
Même si l'attaque Laziok Troie ne utilise pas de nouveaux trucs, les entreprises devraient traiter comme une menace dangereuse. Une des raisons d'être très prudent est le fait que les systèmes restent généralement non patché contre les vieux vulnérabilités.