Gli esperti di sicurezza hanno recentemente scoperto un nuovo malware progettato per rubare informazioni. La minaccia dannoso viene utilizzato in campagne di ricognizione e si rivolge alle imprese di energia su scala globale. Il malware è doppiato Laziok. Le sue operazioni sono stati molto attivi tra gennaio e febbraio, mira grandi aziende preferibilmente in Medio Oriente.
Su 25% degli attacchi sono stati rilevati negli Emirati Arabi Uniti.
Altri paesi destinatari includono Kuwait, Arabia Saudita, Pakistan (su 10% di infezioni ogni), seguito da Qatar, Oman, Regno Unito e Stati Uniti, Indonesia, India, Uganda, Colombia.
Dopo aver invaso i sistemi delle aziende, Laziok Trojan è impostato per raccogliere dati cruciali in modo che gli attaccanti potrebbero decidere come procedere con lo sciopero dannoso. Terminata la fase iniziale è passato, gli attaccanti dietro l'infezione determinano se per raccogliere i dati di configurazione o no. Se il sistema non è di alcun interesse, il malware si ferma il suo attacco.
Tuttavia, se i criminali informatici trovano i dati essenziali, Laziok distribuisce altro malware, solitamente scaricati dal server nel Regno Unito, Stati Uniti o in Bulgaria. I dati raccolti primaria consiste in specifiche del software, RAM e dimensione del disco rigido, GPU e CPU, e strumenti anti-malware presenti.
I programmi pericolosi aggiuntivi sono varianti personalizzate di altri Trojan, come Cyberat e Zbot.
Che tipo di dati essenziali non Laziok Raccogliere?
I ricercatori hanno riferito che i server di Laziok sono probabilmente situate nel Regno Unito, Stati Uniti o in Bulgaria. Dopo una vasta analisi, esperti di sicurezza hanno concluso che la maggior parte degli obiettivi sono stati collegati alla dell'elio, industrie del gas e del petrolio. Quindi, è lecito ritenere che gli attaccanti hanno un enorme interesse nei progetti di tali società e hanno preparato con cura la loro strategia, anche se il Trojan in sé non è sofisticato.
Tecnica Distribuzione Laziok
L'attacco iniziale inizia con una e-mail dalla lavorazione moneytrans.eu come un server in uscita. Le e-mail infette sono costituiti da un file Excel danneggiato con un exploit per CVE-2012-0158. CVE-2012-0158 è una vulnerabilità comune nel ListView / Controllo TreeView ActiveX. E 'parte della libreria MSCOMCTL.OCX e permette l'accesso remoto e l'esecuzione di codice dannoso.
Il bug è stato sfruttato prima e si dice di influenzare Microsoft Office versioni da 2003 a 2010.
Anche se l'attacco Laziok Trojan non utilizza nuovi trucchi, le aziende dovrebbero trattarlo come una pericolosa minaccia. Un motivo per essere molto cauti è il fatto che i sistemi di solito rimangono senza patch contro vecchie vulnerabilità.