Balkanske zemlje na udaru trojanaca BalkanDoor i BalkanRAT

Vesti, 22.08.2019, 12:00 PM

Balkanske zemlje na udaru trojanaca BalkanDoor i BalkanRAT

Istraživači iz kompanije ESET upozorili su da je na Balkanu u toku kampanja u okviru koje se distribuiraju dva hakerska alata sa sličnom svrhom: trojanac BalkanDoor i trojanac za daljinski pristup (RAT, Remote Access Tool) BalkanRAT.

Tipična žrtva ove kampanje otvara email poruku napadača, koji ove poruke koriste kao mehanizam za širenje. Tako žrtva završava sa dva trojanca na svom računaru, od kojih svaki može u potpunosti kontrolisati zaraženi uređaj. Ovo je prilično neuobičajeno ali omogućava napadačima da odaberu najprikladniji način kojim će upravljati računarom.

Tema kampanje su porezi a ciljevi napadača su finansijske službe na Balkanu kojima su namenjeni emailovi sa linkovima i PDF-om. Zato istraživači ESET-a smatraju da napadači imaju isključivo finansijske motive.

Kampanja je počela januara 2016. ili ranije i traje sve do danas.

Istraživači ESET-a kažu da su napadi orkestrirani, te da ih stoga smatraju delom jedne dugoročne kampanje koja obuhvata Hrvatsku, Srbiju, Crnu Goru i Bosnu i Hercegovinu.

ESET je otkrio novu verziju BalkanDoora koji se instalira drugačije od prethodnih - pomoću exploita za WinRAR ranjivost (CVE-2018-20250).

Maliciozni alati koji se koriste u ovoj kampanji digitalno su potpisano raznim sertifikatima za koje su programeri platili da bi da im dali legitimitet.

Napadači distribuiraju svoje alate preko spam emailova sa linkovima za maliciozne fajlove. Linkovi u ovim emailovima izgledaju kao da vode do legitimnih web sajtova državnih institucija. Linkovi koji vode do izvršnog fajla izgledaju kao linkovi za PDF. Izvršni fajl je WinRAR ekstraktor sa nazivom i ikonom koji podsećaju na PDF fajlove. Kada se pokrene, otvara se PDF da se ne bi izazvala sumnja kod žrtve. U pozadini se zapravo pokreće ili BalkanDoor ili BalkanRAT.

Ranjivost koju koriste napadači je ispravljena u verziji WinRAR-a 5.70, koja je objavljena 28. februara ove godine. Iako je ispravljena, ova ranjivost se i dalje vrlo često koristi za distribuciju malvera.

U većini slučajeva, na ciljanom računaru instaliraju se oba pomenuta alata. Kada su na računaru prisutni i BalkanDoor i BalkanRAT scenario napada je sledeći: napadač detektuje kada je ekran uređaja zaključan, što znači da žrtva verovatno u tom trenutku ne koristi računar. Uvid u to napadaču obezbeđuje ili BalkanDoor koji šalje snimak ekrana, ili View Only mod BalkanRAT-a. Napadač zatim šalje naredbu za otključavanje ekrana preko BalkanDoora ili može da uradi šta god želi koristeći BalkanRAT.

BalkanDoor i BalkanRAT mogli bi se, između ostalog, koristiti za špijunažu. Ali ciljevi kampanje i distribucija alata pokazuju da je napadačima važniji novac od špijunaže.

BalkanRAT instalira alat koji može da izlista dostupne pametne kartice, preko ScardListReadersA/SCardConnectA API funkcija. Pametne kartice obično izdaju banke ili vlade radi potvrde identiteta vlasnika. Ako se zloupotrebe, pametne kartice mogu da olakšaju prevare kao što su digitalno potpisivanje ugovora, potvrđivanje novčanih transakcija itd.

Iz ESET-a savetuju poslovnim korisnicima da budu oprezni sa emailovima i prilozima i linkovima u njima. Takođe, preporuka je i da ažuriraju svoj softver i da koriste pouzdano antivirusno rešenje nekog od renomiranih proizvođača.

Više detalja o ovoj kampanji možete naći na blogu kompanije ESET Welivesecurity.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Procureli lični podaci svih građana Ekvadora, zbog toga uhapšen vlasnik jedne privatne firme

Procureli lični podaci svih građana Ekvadora, zbog toga uhapšen vlasnik jedne privatne firme

Vlasti Ekvadora uhapsile su generalnog direktora IT konsultantske firme Novaestrat nakon što su lični podaci gotovo svih stanovnika Republike Ekvado... Dalje

Kopije popularnih ekstenzija koje blokiraju reklame u Chromeu prevarile milione korisnika

Kopije popularnih ekstenzija koje blokiraju reklame u Chromeu prevarile milione korisnika

Više od 600 miliona korisnika surfuje internetom sa programima koji blokiraju reklame. Činjenica je da takvi programi znatno smanjuju dnevnu zaradu ... Dalje

SAD uvode sankcije za 3 severnokorejske hakerske grupe

SAD uvode sankcije za 3 severnokorejske hakerske grupe

Ministarstvo finansija Sjedinjenih Država u petak je najavilo sankcije protiv tri hakerske grupe koje finansira Severna Koreja zbog nekoliko destrukt... Dalje

Američka vlada podnela tužbu protiv Snoudena, traži njegovu zaradu od memoara

Američka vlada podnela tužbu protiv Snoudena, traži njegovu zaradu od memoara

Vlada Sjedinjenih Država podnela je juče tužbu protiv uzbunjivača Edvarda Snoudena, bivšeg saradnika CIA i NSA, koji je 2013. godine napustio zem... Dalje

Zbog greške u softveru LastPass lozinka koju ste uneli na jednom sajtu može biti ukradena na sajtu koji sledeći posetite

Zbog greške u softveru LastPass lozinka koju ste uneli na jednom sajtu može biti ukradena na sajtu koji sledeći posetite

LastPass je ispravio ranjivost koja bi mogla omogućiti zlonamernim web sajtovima neovlašćeni pristup korisničkim imenima i lozinkama sa prethodno... Dalje