Säkerhetsexperter har nyligen upptäckt en ny skadlig kod utformad för att stjäla information. Den skadliga hot används i spaningskampanjer och energimål företag på en global skala. Det skadliga programmet är dubbad Laziok. Verksamheten var ganska aktiv mellan januari och februari, rikta stora företag, företrädesvis i Mellanöstern.
Handla om 25% av attackerna har upptäckts i Förenade Arabemiraten.
Andra riktade länder inkluderar Kuwait, Saudiarabien, pakistan (handla om 10% av infektioner varje), följt av Qatar, oman, Storbritannien och USA, indonesien, Indien, Uganda, colombia.
Efter att invadera företagens system, Laziok Trojan är inställd på att skörda viktiga data så att angriparna kunde bestämma hur man ska gå vidare med skadliga strejken. När det inledande skedet har passerat, angriparna bakom infektionen avgöra om att samla konfigurationsdata eller inte. Om systemet inte är av något intresse, malware slutar sin attack.
dock, om cyberbrottslingar hitta data väsentliga, Laziok distribuerar ytterligare skadlig kod, vanligtvis ner från servrar i Storbritannien, USA eller Bulgarien. Den primära insamlade data består av programvaruspecifikationer, RAM och storleken på hårddisk, GPU och CPU, och presentera anti-malware verktyg.
De extra skadliga program är anpassade varianter av andra trojaner som Cyberat och Zbot.
Vilken typ av viktiga data Har Laziok Samla?
Forskare har rapporterat att Laziok servrar förmodligen ligger i Storbritannien, USA eller Bulgarien. Efter en omfattande analys, säkerhetsexperter har dragit slutsatsen att de flesta av de mål som var anslutna till helium, gas- och oljeindustrin. Således, det är säkert att anta att angriparna har ett stort intresse i projekten i sådana företag och har noga förberett sin strategi, även om trojanska själv inte är sofistikerad.
Laziok distributionsteknik
Den inledande attack börjar med en e-post från moneytrans.eu behandling som en utgående server. De infekterade e-postmeddelanden består av en skadad Excel-fil med en utnyttja för CVE-2012-0158. CVE-2012-0158 är en vanlig sårbarhet i Listview / Treeview ActiveX-kontroll. Det är en del av MSCOMCTL.OCX biblioteket och tillåter fjärråtkomst och genomförande skadlig kod.
Felet har exploaterats tidigare och sägs påverka Microsoft Office-versioner från 2003 till 2010.
Även om Laziok Trojan attack inte använder några nya trick, företagen bör behandla det som ett farligt hot. En anledning att vara mycket försiktig är det faktum att systemen brukar förbli unpatched mot gamla sårbarheter.