Sikkerhetseksperter har nylig oppdaget en ny malware designet for å stjele informasjon. Den ondsinnede trusselen brukes i rekognoserings kampanjer og mål energiselskaper på en global skala. Den malware er kalt Laziok. Virksomheten var ganske aktiv mellom januar og februar, målretting store selskaper helst i Midtøsten.
Omtrent 25% av angrepene har blitt oppdaget i De forente arabiske emirater.
Andre målrettede land inkluderer Kuwait, Saudi-Arabia, Pakistan (omtrent 10% av infeksjoner hver), etterfulgt av Qatar, Oman, Storbritannia og USA, Indonesia, India, Uganda, Colombia.
Etter å invadere selskapenes systemer, Laziok Trojan er satt til å høste viktige data, slik at angriperne kan bestemme hvordan de skal gå videre med ondsinnet streik. Når den første fasen har passert, angriperne bak infeksjon avgjøre om å samle konfigurasjonsdata eller ikke. Dersom systemet ikke er av noen interesse, malware stopper sine angrep.
Men, hvis de nettkriminelle finne dataene avgjørende, Laziok distribuerer ytterligere malware, vanligvis er lastet ned fra servere i Storbritannia, USA eller Bulgaria. Den primære innsamlede data består av programvare spesifikasjoner, RAM og størrelsen på hardplaten, GPU og CPU, og nåværende anti-malware verktøy.
De ekstra farlige programmer er tilpassede varianter av andre trojanere som Cyberat og Zbot.
Hva slags Essential data Betyr Laziok Samle?
Forskere har rapportert at Laziok servere er sannsynligvis plassert i Storbritannia, USA eller Bulgaria. Etter en lang analyse, sikkerhetseksperter har konkludert med at de fleste av målene ble koblet til helium, gass- og oljeindustrien. Dermed, det er trygt å anta at angriperne har en enorm interesse i prosjektene fra slike selskaper og har nøye utarbeidet sin strategi, selv om den trojanske seg selv er ikke sofistikert.
Laziok distribusjons Technique
Den innledende angrep starter med en e-post fra moneytrans.eu behandling som en utgående server. De infiserte e-poster består av en skadet Excel-fil med en utnytte for CVE-2012-0158. CVE-2012-0158 er en felles sårbarhet i Listview / Treeview ActiveX-kontroll. Det er en del av MSCOMCTL.OCX bibliotek og tillater ekstern tilgang og kjøring av skadelig kode.
Feilen har blitt utnyttet før og sies å påvirke Microsoft Office-versjoner fra 2003 til 2010.
Selv om Laziok Trojan angrep ikke bruker noen nye triks, selskapene bør behandle det som en farlig trussel. En grunn til å være svært forsiktige er at systemene vanligvis forbli unpatched mot gamle sårbarheter.