Ciljani napadi novog malvera KeyBoy
Opisi virusa, 12.06.2013, 07:52 AM

Korisnici u Vijetnamu, Kini, Indiji, Tajvanu, i možda i drugim zemljama trenutno su izloženi napadima u kojima se koriste Microsoft Word dokumenti sa exploit-ima a cilj napada je instaliranje backdoor programa koji omogućava napadačima krađu podataka sa zaraženih računara, upozorili su stručnjaci firme Rapid7.
U napadima se koriste specijalno napravljeni Word dokumenti koji se šalju kao mamac u spear fišing emailovima odabranim žrtvama. Dokumenti u emailovima su opremljeni exploit-ima za poznate ranjivosti u nezakrpljenim instalacijama Microsoft Office.
Jedan od ovih malicioznih dokumenata koji su otkrili istraživači firme Rapid7 napisan je na vijetnamskom jeziku i bavi se temom prakse u nastavi i naučnim istraživanjima, što je stručnjake navelo na pomisao da je dokument namenjen napadu na vijetnamsku akademsku zajednicu.
Drugi dokument je na engleskom i bavi se stanjem telekomunikacijske infrastrukture, pokrivenosti mobilnom mrežom i dostupnošću širokopojasnog interneta u Kalkuti, u Indiji. Logično je da je dokument namenjen zaposlenima u telekomunikacijama ili predstavnicima lokalnih vlasti.
Kada se otvore, dokumenti pokušavaju da iskoriste ranjivosti CVE-2012-0158 i CVE-2012-1856 u MS Office 2003, 2007 i 2010 koje su zakrpljene prošle godine kada je Microsoft objavio MS12-027 i MS12-060.
Uprkos činjenici da je reč o relativno starim ranjivostima, posebno ona sa oznakom CVE-2012-0158 se često koristi u napadima. Ista ranjivost se koristila i u operacijama sajber špijunaže malverima NetTraveler i HangOver.
Maliciozni dokumenti instaliraju backdoor program nazvan KeyBoy koji krade podatke za prijavljivanje na naloge sačuvane u Internet Explorer-u i Firefox-u, i instalira keylogger komponentu koja može da krade iste podatke koji se unose u Google Chrome. Backdoor obezbeđuje napadačima detaljne informacije o kompromitovanom računaru, pregledava foldere, i preuzima i otprema fajlove. Malver se može koristiti i za otvaranje Windows-ovog komandnog interpretera na zaraženom računara koji se može koristiti za izvršenje Windows-ovih komandi.
Napadi su počeli najranije 1. aprila, a domeni za komandu i kontrolu registrovani su tokom aprila i maja.
Napadi nisu naročito sofisticirani, exploit-i koji se koriste u napadima su dobro poznati, a malver je jednostavan. Ipak, i to je, kao što je pokazala praksa, dovoljno da napadi budu uspešni i da napadači postignu svoj cilj.
Stope detekcije expliut-a i backdoor programa od strane antivirusa su iznenađujuće niske u ovom trenutku, kažu u Rapid7, ali s obzirom da su napadi privukli pažnju javnosti, to bi trebalo da se promeni narednih dana, procenjuju stručnjaci.

Izdvojeno
Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje
Novi opasni ransomware briše sadržaj fajlova na uređajima
.png)
Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje
Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje
Malver Acreed: nova zvezda na crnom sajber-tržištu
.jpg)
Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje
Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja
.jpg)
Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje
Pratite nas
Nagrade