Ciljani napadi novog malvera KeyBoy

Opisi virusa, 12.06.2013, 07:52 AM

Ciljani napadi novog malvera KeyBoy

Korisnici u Vijetnamu, Kini, Indiji, Tajvanu, i možda i drugim zemljama trenutno su izloženi napadima u kojima se koriste Microsoft Word dokumenti sa exploit-ima a cilj napada je instaliranje backdoor programa koji omogućava napadačima krađu podataka sa zaraženih računara, upozorili su stručnjaci firme Rapid7.

U napadima se koriste specijalno napravljeni Word dokumenti koji se šalju kao mamac u spear fišing emailovima odabranim žrtvama. Dokumenti u emailovima su opremljeni exploit-ima za poznate ranjivosti u nezakrpljenim instalacijama Microsoft Office.

Jedan od ovih malicioznih dokumenata koji su otkrili istraživači firme Rapid7 napisan je na vijetnamskom jeziku i bavi se temom prakse u nastavi i naučnim istraživanjima, što je stručnjake navelo na pomisao da je dokument namenjen napadu na vijetnamsku akademsku zajednicu.

Drugi dokument je na engleskom i bavi se stanjem telekomunikacijske infrastrukture, pokrivenosti mobilnom mrežom i dostupnošću širokopojasnog interneta u Kalkuti, u Indiji. Logično je da je dokument namenjen zaposlenima u telekomunikacijama ili predstavnicima lokalnih vlasti.

Kada se otvore, dokumenti pokušavaju da iskoriste ranjivosti CVE-2012-0158 i CVE-2012-1856 u MS Office 2003, 2007 i 2010 koje su zakrpljene prošle godine kada je Microsoft objavio MS12-027 i MS12-060.

Uprkos činjenici da je reč o relativno starim ranjivostima, posebno ona sa oznakom CVE-2012-0158 se često koristi u napadima. Ista ranjivost se koristila i u operacijama sajber špijunaže malverima NetTraveler i HangOver.

Maliciozni dokumenti instaliraju backdoor program nazvan KeyBoy koji krade podatke za prijavljivanje na naloge sačuvane u Internet Explorer-u i Firefox-u, i instalira keylogger komponentu koja može da krade iste podatke koji se unose u Google Chrome. Backdoor obezbeđuje napadačima detaljne informacije o kompromitovanom računaru, pregledava foldere, i preuzima i otprema fajlove. Malver se može koristiti i za otvaranje Windows-ovog komandnog interpretera na zaraženom računara koji se može koristiti za izvršenje Windows-ovih komandi.

Napadi su počeli najranije 1. aprila, a domeni za komandu i kontrolu registrovani su tokom aprila i maja.

Napadi nisu naročito sofisticirani, exploit-i koji se koriste u napadima su dobro poznati, a malver je jednostavan. Ipak, i to je, kao što je pokazala praksa, dovoljno da napadi budu uspešni i da napadači postignu svoj cilj.

Stope detekcije expliut-a i backdoor programa od strane antivirusa su iznenađujuće niske u ovom trenutku, kažu u Rapid7, ali s obzirom da su napadi privukli pažnju javnosti, to bi trebalo da se promeni narednih dana, procenjuju stručnjaci.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje