Especialistas em segurança descobriram recentemente um novo malware projetado para roubar informações. A ameaça malicioso é usado em campanhas de reconhecimento e tem como alvo empresas de energia em escala global. O malware é apelidado Laziok. Suas operações foram bastante activa entre janeiro e fevereiro, alvejando grandes empresas de preferência no Oriente Médio.
Sobre 25% dos ataques foram detectados nos Emirados Árabes Unidos.
Outros países visados incluem Kuwait, Arábia Saudita, Paquistão (sobre 10% de cada infecções), seguido por Qatar, Oman, do Reino Unido e dos Estados Unidos, Indonésia, Índia, Uganda, Colômbia.
Depois de invadir os sistemas das empresas, Laziok Trojan está definido para colher dados cruciais para que os atacantes poderiam decidir como proceder com a greve malicioso. Uma vez que a fase inicial passou, os atacantes por trás da infecção determinar se a recolha de dados de configuração ou não. Se o sistema não é de todo o interesse, o malware pára seu ataque.
Contudo, se os criminosos cibernéticos encontrar os dados essenciais, Laziok distribui outros malwares, geralmente baixado dos servidores no Reino Unido, Estados Unidos ou Bulgária. Os dados coletados primária consiste em especificações de software, RAM e tamanho do disco rígido, GPU e CPU, e ferramentas anti-malware presentes.
Os programas perigosos adicionais são variações personalizadas de outros Trojans, como Cyberat e Zbot.
Que tipo de dados essenciais Será Laziok Colete?
Os pesquisadores relataram que os servidores do Laziok são, provavelmente, situado no Reino Unido, Estados Unidos ou Bulgária. Após um vasto análise, especialistas em segurança concluíram que a maioria das metas foram conectados ao hélio, indústrias de gás e petróleo. Assim, é seguro assumir que os atacantes têm um imenso interesse nos projetos dessas empresas e cuidadosamente preparado sua estratégia, embora o próprio Trojan não é sofisticado.
Técnica de Distribuição da Laziok
O ataque inicial começa com um e-mail a partir do processamento moneytrans.eu como um servidor de saída. Os e-mails infectados consistem de um arquivo corrompido Excel com um exploit CVE-2012-0158. CVE-2012-0158 é uma vulnerabilidade comum no ListView / Controle TreeView ActiveX. É parte da biblioteca MSCOMCTL.OCX e permite o acesso remoto e execução de código malicioso.
O bug foi explorado antes e é dito que afetam as versões do Microsoft Office a partir 2003 para 2010.
Mesmo que o ataque Laziok Trojan não usa truques novos, as empresas devem tratá-lo como uma ameaça perigosa. Uma das razões de ser muito cautelosos é o fato de que os sistemas geralmente permanecem sem correção contra vulnerabilidades antigas.