Sikkerhedseksperter har for nylig opdaget en ny malware designet til at stjæle oplysninger. Den ondsindede trussel bruges i rekognoscering kampagner og mål energiselskaber på globalt plan. Den malware er døbt Laziok. Dens aktiviteter var ganske aktiv mellem januar og februar, målretning store virksomheder fortrinsvis i Mellemøsten.
Cirka 25% af angrebene er blevet påvist i De Forenede Arabiske Emirater.
Andre målrettede lande omfatter Kuwait, Saudi-Arabien, Pakistan (cirka 10% af infektioner hver), efterfulgt af Qatar, Oman, Storbritannien og USA, Indonesien, Indien, Uganda, Colombia.
Efter invaderer selskabernes systemer, Laziok Trojan er indstillet til at høste vigtige data, så angriberne kunne beslutte hvordan vi kommer videre med den ondsindede strejke. Når den indledende fase har passeret, angriberne bag infektionen afgøre, om at indsamle konfigurationsdata eller ej. Hvis systemet ikke er af nogen interesse, malware stopper sit angreb.
Dog, hvis cyberkriminelle finde data væsentlige, Laziok distribuerer yderligere malware, normalt hentes fra servere i UK, USA eller Bulgarien. Den primære indsamlede data består af softwarespecifikationer, RAM og størrelse harddisk, GPU og CPU, og nuværende anti-malware værktøj.
De ekstra farlige programmer er tilpassede varianter af andre Trojans såsom Cyberat og Zbot.
Hvilken slags vigtige data Er Laziok Collect?
Forskere har rapporteret, at Laziok servere sandsynligvis ligger i UK, USA eller Bulgarien. Efter en omfattende analyse, sikkerhedseksperter har konkluderet, at de fleste af de mål blev sluttet til helium, gas- og olieindustrien. Således, det er sikkert at antage, at angriberne har en enorm interesse i projekterne i sådanne selskaber og har omhyggeligt forberedt deres strategi, selv om den trojanske selv er ikke sofistikerede.
Laziok s Distribution Technique
Den indledende angreb starter med en e-mail fra moneytrans.eu behandling som en udgående server. De inficerede emails består af en beskadiget Excel-fil med en udnytte for CVE-2012-0158. CVE-2012-0158 er en fælles sårbarhed i Listevisning / TreeView ActiveX. Det er en del af MSCOMCTL.OCX biblioteket og giver fjernadgang og ondsindet kode.
Fejlen er blevet udnyttet før og siges at påvirke Microsoft Office-versioner fra 2003 til 2010.
Selvom Laziok Trojan angreb ikke bruger nogen nye tricks, virksomhederne bør behandle det som en farlig trussel. En grund til at være meget forsigtig, er, at systemerne normalt forbliver unpatched mod gamle sårbarheder.