Η ESET ενημερώνει για επιθέσεις στο Πακιστάν με στόχο την κλοπή δεδομένων

Μία στοχευμένη επίθεση που προσπαθεί να κλέψει σημαντικές και ευαίσθητες πληροφορίες από διάφορους οργανισμούς, κυρίως στο Πακιστάν (με μειωμένη εξάπλωση στον υπόλοιπο κόσμο) ανακάλυψε και ανέλυσε η ESET. Οι έρευνες της ESET οδηγούν στο συμπέρασμα ότι η απειλή υφίσταται για τουλάχιστον 2 έτη και έχει ως κέντρο δράσης την Ινδία.

Αυτή η απειλή χρησιμοποιεί ένα πιστοποιητικό υπογραφής κώδικα που εκδίδεται από μία φαινομενικά νόμιμη εταιρία, για να υπογράψει κακόβουλα λογισμικά, βελτιώνοντας έτσι την ικανότητά τους να εξαπλωθούν. Η έδρα της εταιρίας ήταν στο Νέο Δελχί της Ινδίας, και το πιστοποιητικό εκδόθηκε το 2011. Το malware εξαπλώθηκε μέσα από έγγραφα συνημμένα σε emails.

«Έχουμε εντοπίσει αρκετά διαφορετικά έγγραφα με ποικίλα θέματα, πιθανά να προσελκύσουν το ενδιαφέρον των παραληπτών. Ένα από αυτά αφορά τις Ινδικές ένοπλες δυνάμεις. Δεν διαθέτουμε ακριβείς πληροφορίες όπως το ποια ακριβώς άτομα ή οργανισμούς στόχευαν αυτά τα αρχεία, άλλα σύμφωνα με τις έρευνές μας, υποθέτουμε ότι στόχο αποτελούσαν άτομα και οργανισμοί στο Πακιστάν,» δήλωσε σχετικά ο Jean-Ian Boutin, Malware Researcher της ESET.

Για παράδειγμα, ένα από τα ψεύτικα αρχεία PDF παραδόθηκε μέσα από ένα αρχείο αυτόματης εξαγωγής με την ονομασία «pakistandefencetoindiantopmiltrysecreat.exe», και τα τηλεμετρικά δεδομένα της ESET καταδεικνύουν ότι το Πακιστάν έχει μολυνθεί αρκετά από αυτή την καμπάνια, εμφανίζοντας ποσοστό ανίχνευσης 79%.

Ο πρώτος φορέας μόλυνσης χρησιμοποιούσε ένα ευρέως χρησιμοποιούμενο τρωτό σημείο γνωστό ως CVE-2012-0158. Αυτή η ευπάθεια μπορεί να χρησιμοποιηθεί από ειδικά δημιουργημένα έγγραφα του Microsoft® Office και επιτρέπει την εκτέλεση αυθαίρετων κωδικών. Τα έγγραφα παραδόθηκαν μέσω email, και ο κακόβουλος κώδικας εκτελέστηκε χωρίς καν ο χρήστης του μολυσμένου υπολογιστή να το γνωρίζει. Ο άλλος φορέας μόλυνσης εξαπλώθηκε μέσω αρχείων εκτέλεσης των Windows με τη μορφή εγγράφων Word ή PDF – πάλι μέσω email. Και στις δύο περιπτώσεις, για να μην υποψιαστεί το θύμα, τα πλαστά έγγραφα εμφανίζονται στο χρήστη κατά την εκτέλεση.

Το malware έκλεβε ευαίσθητα δεδομένα από τους μολυσμένους υπολογιστές και τα έστελνε στους servers των επιτιθέμενων. Χρησιμοποιούσε πλήθος τεχνικών κλοπής δεδομένων, όπως key-logger, λήψη screenshots και φόρτωση αρχείων στον υπολογιστή του επιτιθέμενου. Ιδιαίτερο ενδιαφέρον παρουσιάζει το γεγονός ότι τα κλεμμένα δεδομένα «ανέβαιναν» μη κρυπτογραφημένα στο server του επιτιθέμενου. «Η απόφαση να μη χρησιμοποιηθεί κρυπτογράφηση δημιουργεί ερωτήματα δεδομένου ότι η προσθήκη βασικής κρυπτογράφησης θα ήταν εύκολη και θα πρόσφερε επιπλέον προστασία από την ανίχνευση,», συμπληρώνει ο Jean-Ian Boutin.

Πλήρης τεχνική ανάλυση της επίθεσης διατίθεται στο WeLiveSecurity.com - – τη νέα πλατφόρμα της ESET με τις πιο πρόσφατες πληροφορίες και αναλύσεις για κυβερνοαπειλές και χρήσιμες συμβουλές ασφαλείας.

Ονομασίες Ανίχνευσης

Παρακάτω βρίσκεται λίστα με ονομασίες της ESET για τις απειλές που σχετίζονται με αυτή την πολύπλευρη και multi-vector επίθεση:

Win32/Agent.NLD worm
Win32/Spy.Agent.NZD Trojan
Win32/Spy.Agent.OBF Trojan
Win32/Spy.Agent.OBV Trojan
Win32/Spy.KeyLogger.NZL Trojan
Win32/Spy.KeyLogger.NZN Trojan
Win32/Spy.VB.NOF Trojan
Win32/Spy.VB.NRP Trojan
Win32/TrojanDownloader.Agent.RNT Trojan
Win32/TrojanDownloader.Agent.RNV Trojan
Win32/TrojanDownloader.Agent.RNW Trojan
Win32/VB.NTC Trojan
Win32/VB.NVM Trojan
Win32/VB.NWB Trojan
Win32/VB.QPK Trojan
Win32/VB.QTV Trojan
Win32/VB.QTY Trojan
Win32/Spy.Agent.NVL Trojan
Win32/Spy.Agent.OAZ trojan