Balkanske zemlje na udaru trojanaca BalkanDoor i BalkanRAT

Vesti, 22.08.2019, 12:00 PM

Balkanske zemlje na udaru trojanaca BalkanDoor i BalkanRAT

Istraživači iz kompanije ESET upozorili su da je na Balkanu u toku kampanja u okviru koje se distribuiraju dva hakerska alata sa sličnom svrhom: trojanac BalkanDoor i trojanac za daljinski pristup (RAT, Remote Access Tool) BalkanRAT.

Tipična žrtva ove kampanje otvara email poruku napadača, koji ove poruke koriste kao mehanizam za širenje. Tako žrtva završava sa dva trojanca na svom računaru, od kojih svaki može u potpunosti kontrolisati zaraženi uređaj. Ovo je prilično neuobičajeno ali omogućava napadačima da odaberu najprikladniji način kojim će upravljati računarom.

Tema kampanje su porezi a ciljevi napadača su finansijske službe na Balkanu kojima su namenjeni emailovi sa linkovima i PDF-om. Zato istraživači ESET-a smatraju da napadači imaju isključivo finansijske motive.

Kampanja je počela januara 2016. ili ranije i traje sve do danas.

Istraživači ESET-a kažu da su napadi orkestrirani, te da ih stoga smatraju delom jedne dugoročne kampanje koja obuhvata Hrvatsku, Srbiju, Crnu Goru i Bosnu i Hercegovinu.

ESET je otkrio novu verziju BalkanDoora koji se instalira drugačije od prethodnih - pomoću exploita za WinRAR ranjivost (CVE-2018-20250).

Maliciozni alati koji se koriste u ovoj kampanji digitalno su potpisano raznim sertifikatima za koje su programeri platili da bi da im dali legitimitet.

Napadači distribuiraju svoje alate preko spam emailova sa linkovima za maliciozne fajlove. Linkovi u ovim emailovima izgledaju kao da vode do legitimnih web sajtova državnih institucija. Linkovi koji vode do izvršnog fajla izgledaju kao linkovi za PDF. Izvršni fajl je WinRAR ekstraktor sa nazivom i ikonom koji podsećaju na PDF fajlove. Kada se pokrene, otvara se PDF da se ne bi izazvala sumnja kod žrtve. U pozadini se zapravo pokreće ili BalkanDoor ili BalkanRAT.

Ranjivost koju koriste napadači je ispravljena u verziji WinRAR-a 5.70, koja je objavljena 28. februara ove godine. Iako je ispravljena, ova ranjivost se i dalje vrlo često koristi za distribuciju malvera.

U većini slučajeva, na ciljanom računaru instaliraju se oba pomenuta alata. Kada su na računaru prisutni i BalkanDoor i BalkanRAT scenario napada je sledeći: napadač detektuje kada je ekran uređaja zaključan, što znači da žrtva verovatno u tom trenutku ne koristi računar. Uvid u to napadaču obezbeđuje ili BalkanDoor koji šalje snimak ekrana, ili View Only mod BalkanRAT-a. Napadač zatim šalje naredbu za otključavanje ekrana preko BalkanDoora ili može da uradi šta god želi koristeći BalkanRAT.

BalkanDoor i BalkanRAT mogli bi se, između ostalog, koristiti za špijunažu. Ali ciljevi kampanje i distribucija alata pokazuju da je napadačima važniji novac od špijunaže.

BalkanRAT instalira alat koji može da izlista dostupne pametne kartice, preko ScardListReadersA/SCardConnectA API funkcija. Pametne kartice obično izdaju banke ili vlade radi potvrde identiteta vlasnika. Ako se zloupotrebe, pametne kartice mogu da olakšaju prevare kao što su digitalno potpisivanje ugovora, potvrđivanje novčanih transakcija itd.

Iz ESET-a savetuju poslovnim korisnicima da budu oprezni sa emailovima i prilozima i linkovima u njima. Takođe, preporuka je i da ažuriraju svoj softver i da koriste pouzdano antivirusno rešenje nekog od renomiranih proizvođača.

Više detalja o ovoj kampanji možete naći na blogu kompanije ESET Welivesecurity.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakovano više od 2000 WordPress sajtova

Hakovano više od 2000 WordPress sajtova

Više od 2000 Wordpress sajtova je hakovano za potrebe kampanje u kojoj se posetioci preusmeraju na sajtove na kojima će ih dočekati neželjene pret... Dalje

Kompromitovani podaci 250 miliona korisnika koji su kontaktirali Microsoftovu podršku

Kompromitovani podaci 250 miliona korisnika koji su kontaktirali Microsoftovu podršku

Podaci korisnika koji su kontaktirali Microsoftovu podršku u proteklih 14 godina mogli bi biti kompromitovani, što je juče potvrdio i sam Microsoft... Dalje

Kako je saudijski princ hakovao telefon vlasnika Amazona i doveo do najskupljeg razvoda u istoriji

Kako je saudijski princ hakovao telefon vlasnika Amazona i doveo do najskupljeg razvoda u istoriji

iPhone osnivača Amazona, multimilijardera Džefa Bezosa, navodno je hakovan u maju 2018. godine, nakon što je primio WhatsApp poruku sa privatnog na... Dalje

Na osnovu novog evropskog zakona o zaštiti podataka naplaćene kazne u vrednosti od 114 miliona evra

Na osnovu novog evropskog zakona o zaštiti podataka naplaćene kazne u vrednosti od 114 miliona evra

Prošlo je skoro godinu i osam meseci od kada je u Evropskoj uniji stupio na snagu novi zakon o zaštiti podataka, GDPR (Opšta uredba o zaštiti poda... Dalje

Brazil tužio vlasnika sajta Intercept zbog hakovanja telefona brazilskih zvaničnika

Brazil tužio vlasnika sajta Intercept zbog hakovanja telefona brazilskih zvaničnika

Brazilski savezni tužioci podneli su tužbu protiv novinara i političkog aktiviste Glena Grinvalda zbog kršenje zakona o kibernetičkoj sigurnosti ... Dalje