Balkanske zemlje na udaru trojanaca BalkanDoor i BalkanRAT

Vesti, 22.08.2019, 12:00 PM

Istraživači iz kompanije ESET upozorili su da je na Balkanu u toku kampanja u okviru koje se distribuiraju dva hakerska alata sa sličnom svrhom: trojanac BalkanDoor i trojanac za daljinski pristup (RAT, Remote Access Tool) BalkanRAT.

Tipična žrtva ove kampanje otvara email poruku napadača, koji ove poruke koriste kao mehanizam za širenje. Tako žrtva završava sa dva trojanca na svom računaru, od kojih svaki može u potpunosti kontrolisati zaraženi uređaj. Ovo je prilično neuobičajeno ali omogućava napadačima da odaberu najprikladniji način kojim će upravljati računarom.

Tema kampanje su porezi a ciljevi napadača su finansijske službe na Balkanu kojima su namenjeni emailovi sa linkovima i PDF-om. Zato istraživači ESET-a smatraju da napadači imaju isključivo finansijske motive.

Kampanja je počela januara 2016. ili ranije i traje sve do danas.

Istraživači ESET-a kažu da su napadi orkestrirani, te da ih stoga smatraju delom jedne dugoročne kampanje koja obuhvata Hrvatsku, Srbiju, Crnu Goru i Bosnu i Hercegovinu.

ESET je otkrio novu verziju BalkanDoora koji se instalira drugačije od prethodnih - pomoću exploita za WinRAR ranjivost (CVE-2018-20250).

Maliciozni alati koji se koriste u ovoj kampanji digitalno su potpisano raznim sertifikatima za koje su programeri platili da bi da im dali legitimitet.

Napadači distribuiraju svoje alate preko spam emailova sa linkovima za maliciozne fajlove. Linkovi u ovim emailovima izgledaju kao da vode do legitimnih web sajtova državnih institucija. Linkovi koji vode do izvršnog fajla izgledaju kao linkovi za PDF. Izvršni fajl je WinRAR ekstraktor sa nazivom i ikonom koji podsećaju na PDF fajlove. Kada se pokrene, otvara se PDF da se ne bi izazvala sumnja kod žrtve. U pozadini se zapravo pokreće ili BalkanDoor ili BalkanRAT.

Ranjivost koju koriste napadači je ispravljena u verziji WinRAR-a 5.70, koja je objavljena 28. februara ove godine. Iako je ispravljena, ova ranjivost se i dalje vrlo često koristi za distribuciju malvera.

U većini slučajeva, na ciljanom računaru instaliraju se oba pomenuta alata. Kada su na računaru prisutni i BalkanDoor i BalkanRAT scenario napada je sledeći: napadač detektuje kada je ekran uređaja zaključan, što znači da žrtva verovatno u tom trenutku ne koristi računar. Uvid u to napadaču obezbeđuje ili BalkanDoor koji šalje snimak ekrana, ili View Only mod BalkanRAT-a. Napadač zatim šalje naredbu za otključavanje ekrana preko BalkanDoora ili može da uradi šta god želi koristeći BalkanRAT.

BalkanDoor i BalkanRAT mogli bi se, između ostalog, koristiti za špijunažu. Ali ciljevi kampanje i distribucija alata pokazuju da je napadačima važniji novac od špijunaže.

BalkanRAT instalira alat koji može da izlista dostupne pametne kartice, preko ScardListReadersA/SCardConnectA API funkcija. Pametne kartice obično izdaju banke ili vlade radi potvrde identiteta vlasnika. Ako se zloupotrebe, pametne kartice mogu da olakšaju prevare kao što su digitalno potpisivanje ugovora, potvrđivanje novčanih transakcija itd.

Iz ESET-a savetuju poslovnim korisnicima da budu oprezni sa emailovima i prilozima i linkovima u njima. Takođe, preporuka je i da ažuriraju svoj softver i da koriste pouzdano antivirusno rešenje nekog od renomiranih proizvođača.

Više detalja o ovoj kampanji možete naći na blogu kompanije ESET Welivesecurity.