Balkanske zemlje na udaru trojanaca BalkanDoor i BalkanRAT

Vesti, 22.08.2019, 12:00 PM

Balkanske zemlje na udaru trojanaca BalkanDoor i BalkanRAT

Istraživači iz kompanije ESET upozorili su da je na Balkanu u toku kampanja u okviru koje se distribuiraju dva hakerska alata sa sličnom svrhom: trojanac BalkanDoor i trojanac za daljinski pristup (RAT, Remote Access Tool) BalkanRAT.

Tipična žrtva ove kampanje otvara email poruku napadača, koji ove poruke koriste kao mehanizam za širenje. Tako žrtva završava sa dva trojanca na svom računaru, od kojih svaki može u potpunosti kontrolisati zaraženi uređaj. Ovo je prilično neuobičajeno ali omogućava napadačima da odaberu najprikladniji način kojim će upravljati računarom.

Tema kampanje su porezi a ciljevi napadača su finansijske službe na Balkanu kojima su namenjeni emailovi sa linkovima i PDF-om. Zato istraživači ESET-a smatraju da napadači imaju isključivo finansijske motive.

Kampanja je počela januara 2016. ili ranije i traje sve do danas.

Istraživači ESET-a kažu da su napadi orkestrirani, te da ih stoga smatraju delom jedne dugoročne kampanje koja obuhvata Hrvatsku, Srbiju, Crnu Goru i Bosnu i Hercegovinu.

ESET je otkrio novu verziju BalkanDoora koji se instalira drugačije od prethodnih - pomoću exploita za WinRAR ranjivost (CVE-2018-20250).

Maliciozni alati koji se koriste u ovoj kampanji digitalno su potpisano raznim sertifikatima za koje su programeri platili da bi da im dali legitimitet.

Napadači distribuiraju svoje alate preko spam emailova sa linkovima za maliciozne fajlove. Linkovi u ovim emailovima izgledaju kao da vode do legitimnih web sajtova državnih institucija. Linkovi koji vode do izvršnog fajla izgledaju kao linkovi za PDF. Izvršni fajl je WinRAR ekstraktor sa nazivom i ikonom koji podsećaju na PDF fajlove. Kada se pokrene, otvara se PDF da se ne bi izazvala sumnja kod žrtve. U pozadini se zapravo pokreće ili BalkanDoor ili BalkanRAT.

Ranjivost koju koriste napadači je ispravljena u verziji WinRAR-a 5.70, koja je objavljena 28. februara ove godine. Iako je ispravljena, ova ranjivost se i dalje vrlo često koristi za distribuciju malvera.

U većini slučajeva, na ciljanom računaru instaliraju se oba pomenuta alata. Kada su na računaru prisutni i BalkanDoor i BalkanRAT scenario napada je sledeći: napadač detektuje kada je ekran uređaja zaključan, što znači da žrtva verovatno u tom trenutku ne koristi računar. Uvid u to napadaču obezbeđuje ili BalkanDoor koji šalje snimak ekrana, ili View Only mod BalkanRAT-a. Napadač zatim šalje naredbu za otključavanje ekrana preko BalkanDoora ili može da uradi šta god želi koristeći BalkanRAT.

BalkanDoor i BalkanRAT mogli bi se, između ostalog, koristiti za špijunažu. Ali ciljevi kampanje i distribucija alata pokazuju da je napadačima važniji novac od špijunaže.

BalkanRAT instalira alat koji može da izlista dostupne pametne kartice, preko ScardListReadersA/SCardConnectA API funkcija. Pametne kartice obično izdaju banke ili vlade radi potvrde identiteta vlasnika. Ako se zloupotrebe, pametne kartice mogu da olakšaju prevare kao što su digitalno potpisivanje ugovora, potvrđivanje novčanih transakcija itd.

Iz ESET-a savetuju poslovnim korisnicima da budu oprezni sa emailovima i prilozima i linkovima u njima. Takođe, preporuka je i da ažuriraju svoj softver i da koriste pouzdano antivirusno rešenje nekog od renomiranih proizvođača.

Više detalja o ovoj kampanji možete naći na blogu kompanije ESET Welivesecurity.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kontroverzna opcija za zaštitu privatnosti od sada podrazumevana za američke korisnike, a evo kako je vi možete aktivirati

Kontroverzna opcija za zaštitu privatnosti od sada podrazumevana za američke korisnike, a evo kako je vi možete aktivirati

Nakon kraćeg odlaganja, Mozilla je započela uvođenje funkcije DNS over HTTPS (DOH) kao podrazumevane za Firefox za sve korisnike u SAD. Iz kompanij... Dalje

WhatsApp ima grešku zbog koje morate paziti šta pišete u WhatsApp grupama

WhatsApp ima grešku zbog koje morate paziti šta pišete u WhatsApp grupama

WhatsApp je jedna od najpopularnijih platformi za razmenu poruka na planeti. Ovog meseca, kompanija je objavila da je prešla cifru od dve milijarde k... Dalje

Preminuo Zoran Modli

Preminuo Zoran Modli

Radijski voditelj, autor brojnih emisija, nekadašnji pilot i disk-džokej, preminuo je u 72. godini posle kraće i teške bolesti. Vest o smrti Zoran... Dalje

Google preporučuje korisnicima MS Edgea da zbog bezbednosti pređu na Chrome

Google preporučuje korisnicima MS Edgea da zbog bezbednosti pređu na Chrome

Rat pregledača ponovo je aktuelan - Google i Microsoft reklamiraju svoj softver na štetu svojih konkurenata. Prvi je počeo Microsoft, a sada se u C... Dalje

Napadači koriste bag u popularnom WordPress dodatku, vlasnicima sajtova se savetuje da ga odmah uklone

Napadači koriste bag u popularnom WordPress dodatku, vlasnicima sajtova se savetuje da ga odmah uklone

Istraživači kompanije Wordfence otkrili su do sada nepoznatu ranjivost u ThemeREX Addons, WordPress dodatku instaliranom na hiljadama web sajtova, k... Dalje