Security experts hebben onlangs ontdekt dat er een nieuwe malware ontworpen om informatie te stelen. De kwaadaardige dreiging wordt gebruikt in de verkenning campagnes en richt energiebedrijven op een wereldwijde schaal. De malware wordt nagesynchroniseerd Laziok. Haar activiteiten waren heel actief tussen januari en februari, richten op grote bedrijven bij voorkeur in het Midden-Oosten.
Over 25% van de aanslagen zijn in de Verenigde Arabische Emiraten gedetecteerd.
Andere gerichte landen zijn Koeweit, Saoedi-Arabië, Pakistan (over 10% infecties elk), gevolgd door Qatar, Oman, het VK en de VS, Indonesië, Indië, Oeganda, Colombia.
Na invasie systemen van de bedrijven ', Laziok Trojan is ingesteld op cruciale gegevens te oogsten, zodat de aanvallers kon beslissen hoe verder te gaan met de kwaadaardige staking. Zodra de eerste fase voorbij, de aanvallers achter de infectie te bepalen of om de configuratie gegevens te verzamelen of niet. Als het systeem is niet van enig belang, de malware stopt de aanval.
Echter, als de cybercriminelen vinden de gegevens van essentieel belang, Laziok distribueert aanvullende malware, meestal gedownload van servers in het Verenigd Koninkrijk, VS of Bulgarije. De primaire verzamelde gegevens uit softwarespecificaties, RAM en grootte van de harde schijf, GPU en CPU, en de huidige anti-malware gereedschap.
De extra gevaarlijke programma's zijn op maat variaties van andere Trojaanse paarden, zoals Cyberat en Zbot.
Wat voor soort essentiële gegevens Does Laziok Verzamelen?
Onderzoekers hebben gemeld dat de servers Laziok's waarschijnlijk bevinden zich in het Verenigd Koninkrijk, VS of Bulgarije. Na een uitgebreide analyse, security experts hebben geconcludeerd dat het merendeel van de doelstellingen werden aangesloten op het helium, gas en aardolie-industrie. Dus, het is veilig om te veronderstellen dat de aanvallers hebben een immense belangstelling voor de projecten van dergelijke ondernemingen en hebben zorgvuldig bereid hun strategie, ook al is de Trojan zelf is niet verfijnd.
Laziok's Distributie Techniek
De eerste aanval begint met een e-mail van moneytrans.eu verwerking als een uitgaande server. De geïnfecteerde e-mails bestaat uit een beschadigde Excel-bestand met een exploit voor CVE-2012-0158. CVE-2012-0158 is een veel voorkomende kwetsbaarheid in de ListView / TreeView ActiveX-besturingselement. Het is onderdeel van de MSCOMCTL.OCX bibliotheek en maakt toegang op afstand en kwaadaardige code kan worden uitgevoerd.
De bug is benut voor en wordt gezegd dat het Microsoft Office-versies van invloed 2003 aan 2010.
Hoewel de Laziok Trojan aanval geen nieuwe trucjes gebruiken, bedrijven moeten behandelen als een gevaarlijke bedreiging. Een reden zeer voorzichtig te zijn, is het feit dat de systemen meestal ongepatchte tegen oude kwetsbaarheden blijven.