Ciljani napadi novog malvera KeyBoy

Opisi virusa, 12.06.2013, 07:52 AM

Ciljani napadi novog malvera KeyBoy

Korisnici u Vijetnamu, Kini, Indiji, Tajvanu, i možda i drugim zemljama trenutno su izloženi napadima u kojima se koriste Microsoft Word dokumenti sa exploit-ima a cilj napada je instaliranje backdoor programa koji omogućava napadačima krađu podataka sa zaraženih računara, upozorili su stručnjaci firme Rapid7.

U napadima se koriste specijalno napravljeni Word dokumenti koji se šalju kao mamac u spear fišing emailovima odabranim žrtvama. Dokumenti u emailovima su opremljeni exploit-ima za poznate ranjivosti u nezakrpljenim instalacijama Microsoft Office.

Jedan od ovih malicioznih dokumenata koji su otkrili istraživači firme Rapid7 napisan je na vijetnamskom jeziku i bavi se temom prakse u nastavi i naučnim istraživanjima, što je stručnjake navelo na pomisao da je dokument namenjen napadu na vijetnamsku akademsku zajednicu.

Drugi dokument je na engleskom i bavi se stanjem telekomunikacijske infrastrukture, pokrivenosti mobilnom mrežom i dostupnošću širokopojasnog interneta u Kalkuti, u Indiji. Logično je da je dokument namenjen zaposlenima u telekomunikacijama ili predstavnicima lokalnih vlasti.

Kada se otvore, dokumenti pokušavaju da iskoriste ranjivosti CVE-2012-0158 i CVE-2012-1856 u MS Office 2003, 2007 i 2010 koje su zakrpljene prošle godine kada je Microsoft objavio MS12-027 i MS12-060.

Uprkos činjenici da je reč o relativno starim ranjivostima, posebno ona sa oznakom CVE-2012-0158 se često koristi u napadima. Ista ranjivost se koristila i u operacijama sajber špijunaže malverima NetTraveler i HangOver.

Maliciozni dokumenti instaliraju backdoor program nazvan KeyBoy koji krade podatke za prijavljivanje na naloge sačuvane u Internet Explorer-u i Firefox-u, i instalira keylogger komponentu koja može da krade iste podatke koji se unose u Google Chrome. Backdoor obezbeđuje napadačima detaljne informacije o kompromitovanom računaru, pregledava foldere, i preuzima i otprema fajlove. Malver se može koristiti i za otvaranje Windows-ovog komandnog interpretera na zaraženom računara koji se može koristiti za izvršenje Windows-ovih komandi.

Napadi su počeli najranije 1. aprila, a domeni za komandu i kontrolu registrovani su tokom aprila i maja.

Napadi nisu naročito sofisticirani, exploit-i koji se koriste u napadima su dobro poznati, a malver je jednostavan. Ipak, i to je, kao što je pokazala praksa, dovoljno da napadi budu uspešni i da napadači postignu svoj cilj.

Stope detekcije expliut-a i backdoor programa od strane antivirusa su iznenađujuće niske u ovom trenutku, kažu u Rapid7, ali s obzirom da su napadi privukli pažnju javnosti, to bi trebalo da se promeni narednih dana, procenjuju stručnjaci.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sa ChatGPT napravljen polimorfni malver

Sa ChatGPT napravljen polimorfni malver

Istraživač HYAS instituta i stručnjak za sajber bezbednost, Džef Sims, razvio je novi malver koji pokreće ChatGPT pod nazivom Blackmamba. U janu... Dalje

Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Trojanizovane verzije popularnih mesindžera kao što je Telegram ili WhatsApp nude se na lažnim sajtovima korisnicima Androida i Windowsa, koji preu... Dalje

BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

Nevidiljivi UEFI (Unified Extensible Firmware Interface) bootkit pod nazivom BlackLotus postao je prvi poznati malver koji je u stanju da zaobiđe Sec... Dalje

Piratski programi za macOS inficiraju računare opasnim kripto malverom

Piratski programi za macOS inficiraju računare opasnim kripto malverom

Final Cut Pro i druge piratske macOS aplikacije na Pirate Bay su inficirane do sada neotkrivenim malverom. Kada ih žrtve preuzmu, zaraženi Apple ure... Dalje

Opasni ransomware Clop sada inficira i Linux sisteme

Opasni ransomware Clop sada inficira i Linux sisteme

Istraživači iz firme SentinelOne 26. decembra primetili su prvu varijantu ransomwarea Clop (Cl0p) koja cilja na Linux sisteme. Clop se prvi put poja... Dalje