Balkanske zemlje na udaru trojanaca BalkanDoor i BalkanRAT

Vesti, 22.08.2019, 12:00 PM

Balkanske zemlje na udaru trojanaca BalkanDoor i BalkanRAT

Istraživači iz kompanije ESET upozorili su da je na Balkanu u toku kampanja u okviru koje se distribuiraju dva hakerska alata sa sličnom svrhom: trojanac BalkanDoor i trojanac za daljinski pristup (RAT, Remote Access Tool) BalkanRAT.

Tipična žrtva ove kampanje otvara email poruku napadača, koji ove poruke koriste kao mehanizam za širenje. Tako žrtva završava sa dva trojanca na svom računaru, od kojih svaki može u potpunosti kontrolisati zaraženi uređaj. Ovo je prilično neuobičajeno ali omogućava napadačima da odaberu najprikladniji način kojim će upravljati računarom.

Tema kampanje su porezi a ciljevi napadača su finansijske službe na Balkanu kojima su namenjeni emailovi sa linkovima i PDF-om. Zato istraživači ESET-a smatraju da napadači imaju isključivo finansijske motive.

Kampanja je počela januara 2016. ili ranije i traje sve do danas.

Istraživači ESET-a kažu da su napadi orkestrirani, te da ih stoga smatraju delom jedne dugoročne kampanje koja obuhvata Hrvatsku, Srbiju, Crnu Goru i Bosnu i Hercegovinu.

ESET je otkrio novu verziju BalkanDoora koji se instalira drugačije od prethodnih - pomoću exploita za WinRAR ranjivost (CVE-2018-20250).

Maliciozni alati koji se koriste u ovoj kampanji digitalno su potpisano raznim sertifikatima za koje su programeri platili da bi da im dali legitimitet.

Napadači distribuiraju svoje alate preko spam emailova sa linkovima za maliciozne fajlove. Linkovi u ovim emailovima izgledaju kao da vode do legitimnih web sajtova državnih institucija. Linkovi koji vode do izvršnog fajla izgledaju kao linkovi za PDF. Izvršni fajl je WinRAR ekstraktor sa nazivom i ikonom koji podsećaju na PDF fajlove. Kada se pokrene, otvara se PDF da se ne bi izazvala sumnja kod žrtve. U pozadini se zapravo pokreće ili BalkanDoor ili BalkanRAT.

Ranjivost koju koriste napadači je ispravljena u verziji WinRAR-a 5.70, koja je objavljena 28. februara ove godine. Iako je ispravljena, ova ranjivost se i dalje vrlo često koristi za distribuciju malvera.

U većini slučajeva, na ciljanom računaru instaliraju se oba pomenuta alata. Kada su na računaru prisutni i BalkanDoor i BalkanRAT scenario napada je sledeći: napadač detektuje kada je ekran uređaja zaključan, što znači da žrtva verovatno u tom trenutku ne koristi računar. Uvid u to napadaču obezbeđuje ili BalkanDoor koji šalje snimak ekrana, ili View Only mod BalkanRAT-a. Napadač zatim šalje naredbu za otključavanje ekrana preko BalkanDoora ili može da uradi šta god želi koristeći BalkanRAT.

BalkanDoor i BalkanRAT mogli bi se, između ostalog, koristiti za špijunažu. Ali ciljevi kampanje i distribucija alata pokazuju da je napadačima važniji novac od špijunaže.

BalkanRAT instalira alat koji može da izlista dostupne pametne kartice, preko ScardListReadersA/SCardConnectA API funkcija. Pametne kartice obično izdaju banke ili vlade radi potvrde identiteta vlasnika. Ako se zloupotrebe, pametne kartice mogu da olakšaju prevare kao što su digitalno potpisivanje ugovora, potvrđivanje novčanih transakcija itd.

Iz ESET-a savetuju poslovnim korisnicima da budu oprezni sa emailovima i prilozima i linkovima u njima. Takođe, preporuka je i da ažuriraju svoj softver i da koriste pouzdano antivirusno rešenje nekog od renomiranih proizvođača.

Više detalja o ovoj kampanji možete naći na blogu kompanije ESET Welivesecurity.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Američke obaveštajne agencije prošle godine prestale da prikupljaju podatke o lokaciji mobilnih telefona, bez sudskog naloga

Američke obaveštajne agencije prošle godine prestale da prikupljaju podatke o lokaciji mobilnih telefona, bez sudskog naloga

Američke obaveštajne agencije zaustavile su prošle godine prikupljanje podataka o lokaciji telefona u SAD, bez sudskog naloga, navodi se u pismu Ka... Dalje

Program koji se reklamira na YouTubeu krije trojanca nazvanog Predator

Program koji se reklamira na YouTubeu krije trojanca nazvanog Predator

YouTube je klopka za potencijalne žrtve nove prevare u kojoj se koriste video snimci za reklamiranje alata koji navodno može da generiše privatni k... Dalje

Google tajno prikuplja zdravstvene podatke Amerikanaca, ni lekari ni pacijenti ne znaju ništa o tome

Google tajno prikuplja zdravstvene podatke Amerikanaca, ni lekari ni pacijenti ne znaju ništa o tome

Google je tajno prikupio podatke pacijenata iz 21 američke države u ime kompanije Ascension, najvećeg sistema zdravstvene zaštite u SAD, a zbog pr... Dalje

Hakovan forum ZoneAlarma, korisnici treba da promene lozinke

Hakovan forum ZoneAlarma, korisnici treba da promene lozinke

Kompanija ZoneAlarm koja proizvodi poznati softver za zaštitu i koja je u vlasništvu izraelske firme Check Point Technologies, pretrpela je hakerski... Dalje

Zaposleni u kompaniji TrendMicro ukrao i prevarantima prodavao podatke korisnika antivirusnog softvera

Zaposleni u kompaniji TrendMicro ukrao i prevarantima prodavao podatke korisnika antivirusnog softvera

Proizvođač antivirusa, kompanija TrendMicro, objavila je da je njen zaposleni krao i prodavao informacije o njenim korisnicima koje su korišćene z... Dalje