Ciljani napadi novog malvera KeyBoy
Opisi virusa, 12.06.2013, 07:52 AM

Korisnici u Vijetnamu, Kini, Indiji, Tajvanu, i možda i drugim zemljama trenutno su izloženi napadima u kojima se koriste Microsoft Word dokumenti sa exploit-ima a cilj napada je instaliranje backdoor programa koji omogućava napadačima krađu podataka sa zaraženih računara, upozorili su stručnjaci firme Rapid7.
U napadima se koriste specijalno napravljeni Word dokumenti koji se šalju kao mamac u spear fišing emailovima odabranim žrtvama. Dokumenti u emailovima su opremljeni exploit-ima za poznate ranjivosti u nezakrpljenim instalacijama Microsoft Office.
Jedan od ovih malicioznih dokumenata koji su otkrili istraživači firme Rapid7 napisan je na vijetnamskom jeziku i bavi se temom prakse u nastavi i naučnim istraživanjima, što je stručnjake navelo na pomisao da je dokument namenjen napadu na vijetnamsku akademsku zajednicu.
Drugi dokument je na engleskom i bavi se stanjem telekomunikacijske infrastrukture, pokrivenosti mobilnom mrežom i dostupnošću širokopojasnog interneta u Kalkuti, u Indiji. Logično je da je dokument namenjen zaposlenima u telekomunikacijama ili predstavnicima lokalnih vlasti.
Kada se otvore, dokumenti pokušavaju da iskoriste ranjivosti CVE-2012-0158 i CVE-2012-1856 u MS Office 2003, 2007 i 2010 koje su zakrpljene prošle godine kada je Microsoft objavio MS12-027 i MS12-060.
Uprkos činjenici da je reč o relativno starim ranjivostima, posebno ona sa oznakom CVE-2012-0158 se često koristi u napadima. Ista ranjivost se koristila i u operacijama sajber špijunaže malverima NetTraveler i HangOver.
Maliciozni dokumenti instaliraju backdoor program nazvan KeyBoy koji krade podatke za prijavljivanje na naloge sačuvane u Internet Explorer-u i Firefox-u, i instalira keylogger komponentu koja može da krade iste podatke koji se unose u Google Chrome. Backdoor obezbeđuje napadačima detaljne informacije o kompromitovanom računaru, pregledava foldere, i preuzima i otprema fajlove. Malver se može koristiti i za otvaranje Windows-ovog komandnog interpretera na zaraženom računara koji se može koristiti za izvršenje Windows-ovih komandi.
Napadi su počeli najranije 1. aprila, a domeni za komandu i kontrolu registrovani su tokom aprila i maja.
Napadi nisu naročito sofisticirani, exploit-i koji se koriste u napadima su dobro poznati, a malver je jednostavan. Ipak, i to je, kao što je pokazala praksa, dovoljno da napadi budu uspešni i da napadači postignu svoj cilj.
Stope detekcije expliut-a i backdoor programa od strane antivirusa su iznenađujuće niske u ovom trenutku, kažu u Rapid7, ali s obzirom da su napadi privukli pažnju javnosti, to bi trebalo da se promeni narednih dana, procenjuju stručnjaci.

Izdvojeno
Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a
.jpg)
Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje
Novi malver koji krade lozinke širi se preko YouTube-a
.jpg)
Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje
Novi malver MassJacker krije se u piratskom softveru
.jpg)
Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje
Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje
BlackLock je nova opasna ransomware banda

Istraživači iz kompanije za sajber bezbednost Reliaqest upozoravaju na ekstremno opasnu ransomware bandu BlackLock koja se pojavila u martu prošle ... Dalje
Pratite nas
Nagrade