Η ESET ενημερώνει για επιθέσεις στο Πακιστάν με στόχο την κλοπή δεδομένων
09:58 18/5/2013
- Πηγή: PC Nea
Μία στοχευμένη επίθεση που προσπαθεί να κλέψει σημαντικές και ευαίσθητες πληροφορίες από διάφορους οργανισμούς, κυρίως στο Πακιστάν (με μειωμένη εξάπλωση στον υπόλοιπο κόσμο) ανακάλυψε και ανέλυσε η ESET. Οι έρευνες της ESET οδηγούν στο συμπέρασμα ότι η απειλή υφίσταται για τουλάχιστον 2 έτη και έχει ως κέντρο δράσης την Ινδία.
Αυτή η απειλή χρησιμοποιεί
ένα πιστοποιητικό υπογραφής κώδικα που εκδίδεται από μία φαινομενικά νόμιμη εταιρία, για να υπογράψει κακόβουλα λογισμικά, βελτιώνοντας έτσι την ικανότητά τους να εξαπλωθούν. Η έδρα της εταιρίας ήταν στο Νέο Δελχί της Ινδίας, και το πιστοποιητικό εκδόθηκε το 2011. Το malware εξαπλώθηκε μέσα από έγγραφα συνημμένα σε emails.
«Έχουμε εντοπίσει αρκετά διαφορετικά έγγραφα με ποικίλα θέματα, πιθανά να προσελκύσουν το ενδιαφέρον των παραληπτών. Ένα από αυτά αφορά τις Ινδικές ένοπλες δυνάμεις. Δεν διαθέτουμε ακριβείς πληροφορίες όπως το ποια ακριβώς άτομα ή οργανισμούς στόχευαν αυτά τα αρχεία, άλλα σύμφωνα με τις έρευνές μας, υποθέτουμε ότι στόχο αποτελούσαν άτομα και οργανισμοί στο Πακιστάν,» δήλωσε σχετικά ο Jean-Ian Boutin, Malware Researcher της ESET.
Για παράδειγμα, ένα από τα ψεύτικα αρχεία PDF παραδόθηκε μέσα από ένα αρχείο αυτόματης εξαγωγής με την ονομασία «pakistandefencetoindiantopmiltrysecreat.exe», και τα τηλεμετρικά δεδομένα της ESET καταδεικνύουν ότι το Πακιστάν έχει μολυνθεί αρκετά από αυτή την καμπάνια, εμφανίζοντας ποσοστό ανίχνευσης 79%.
Ο πρώτος φορέας μόλυνσης χρησιμοποιούσε ένα ευρέως χρησιμοποιούμενο τρωτό σημείο γνωστό ως CVE-2012-0158. Αυτή η ευπάθεια μπορεί να χρησιμοποιηθεί από ειδικά δημιουργημένα έγγραφα του Microsoft® Office και επιτρέπει την εκτέλεση αυθαίρετων κωδικών. Τα έγγραφα παραδόθηκαν μέσω email, και ο κακόβουλος κώδικας εκτελέστηκε χωρίς καν ο χρήστης του μολυσμένου υπολογιστή να το γνωρίζει. Ο άλλος φορέας μόλυνσης εξαπλώθηκε μέσω αρχείων εκτέλεσης των Windows με τη μορφή εγγράφων Word ή PDF – πάλι μέσω email. Και στις δύο περιπτώσεις, για να μην υποψιαστεί το θύμα, τα πλαστά έγγραφα εμφανίζονται στο χρήστη κατά την εκτέλεση.
Το malware έκλεβε ευαίσθητα δεδομένα από τους μολυσμένους υπολογιστές και τα έστελνε στους servers των επιτιθέμενων. Χρησιμοποιούσε πλήθος τεχνικών κλοπής δεδομένων, όπως key-logger, λήψη screenshots και φόρτωση αρχείων στον υπολογιστή του επιτιθέμενου. Ιδιαίτερο ενδιαφέρον παρουσιάζει το γεγονός ότι τα κλεμμένα δεδομένα «ανέβαιναν» μη κρυπτογραφημένα στο server του επιτιθέμενου. «Η απόφαση να μη χρησιμοποιηθεί κρυπτογράφηση δημιουργεί ερωτήματα δεδομένου ότι η προσθήκη βασικής κρυπτογράφησης θα ήταν εύκολη και θα πρόσφερε επιπλέον προστασία από την ανίχνευση,», συμπληρώνει ο Jean-Ian Boutin.
Πλήρης τεχνική ανάλυση της επίθεσης διατίθεται στο WeLiveSecurity.com - – τη νέα πλατφόρμα της ESET με τις πιο πρόσφατες πληροφορίες και αναλύσεις για κυβερνοαπειλές και χρήσιμες συμβουλές ασφαλείας.
Ονομασίες Ανίχνευσης
Παρακάτω βρίσκεται λίστα με ονομασίες της ESET για τις απειλές που σχετίζονται με αυτή την πολύπλευρη και multi-vector επίθεση:
Win32/Agent.NLD worm
Win32/Spy.Agent.NZD Trojan
Win32/Spy.Agent.OBF Trojan
Win32/Spy.Agent.OBV Trojan
Win32/Spy.KeyLogger.NZL Trojan
Win32/Spy.KeyLogger.NZN Trojan
Win32/Spy.VB.NOF Trojan
Win32/Spy.VB.NRP Trojan
Win32/TrojanDownloader.Agent.RNT Trojan
Win32/TrojanDownloader.Agent.RNV Trojan
Win32/TrojanDownloader.Agent.RNW Trojan
Win32/VB.NTC Trojan
Win32/VB.NVM Trojan
Win32/VB.NWB Trojan
Win32/VB.QPK Trojan
Win32/VB.QTV Trojan
Win32/VB.QTY Trojan
Win32/Spy.Agent.NVL Trojan
Win32/Spy.Agent.OAZ trojan
Αυτή η απειλή χρησιμοποιεί
«Έχουμε εντοπίσει αρκετά διαφορετικά έγγραφα με ποικίλα θέματα, πιθανά να προσελκύσουν το ενδιαφέρον των παραληπτών. Ένα από αυτά αφορά τις Ινδικές ένοπλες δυνάμεις. Δεν διαθέτουμε ακριβείς πληροφορίες όπως το ποια ακριβώς άτομα ή οργανισμούς στόχευαν αυτά τα αρχεία, άλλα σύμφωνα με τις έρευνές μας, υποθέτουμε ότι στόχο αποτελούσαν άτομα και οργανισμοί στο Πακιστάν,» δήλωσε σχετικά ο Jean-Ian Boutin, Malware Researcher της ESET.
Για παράδειγμα, ένα από τα ψεύτικα αρχεία PDF παραδόθηκε μέσα από ένα αρχείο αυτόματης εξαγωγής με την ονομασία «pakistandefencetoindiantopmiltrysecreat.exe», και τα τηλεμετρικά δεδομένα της ESET καταδεικνύουν ότι το Πακιστάν έχει μολυνθεί αρκετά από αυτή την καμπάνια, εμφανίζοντας ποσοστό ανίχνευσης 79%.
Ο πρώτος φορέας μόλυνσης χρησιμοποιούσε ένα ευρέως χρησιμοποιούμενο τρωτό σημείο γνωστό ως CVE-2012-0158. Αυτή η ευπάθεια μπορεί να χρησιμοποιηθεί από ειδικά δημιουργημένα έγγραφα του Microsoft® Office και επιτρέπει την εκτέλεση αυθαίρετων κωδικών. Τα έγγραφα παραδόθηκαν μέσω email, και ο κακόβουλος κώδικας εκτελέστηκε χωρίς καν ο χρήστης του μολυσμένου υπολογιστή να το γνωρίζει. Ο άλλος φορέας μόλυνσης εξαπλώθηκε μέσω αρχείων εκτέλεσης των Windows με τη μορφή εγγράφων Word ή PDF – πάλι μέσω email. Και στις δύο περιπτώσεις, για να μην υποψιαστεί το θύμα, τα πλαστά έγγραφα εμφανίζονται στο χρήστη κατά την εκτέλεση.
Το malware έκλεβε ευαίσθητα δεδομένα από τους μολυσμένους υπολογιστές και τα έστελνε στους servers των επιτιθέμενων. Χρησιμοποιούσε πλήθος τεχνικών κλοπής δεδομένων, όπως key-logger, λήψη screenshots και φόρτωση αρχείων στον υπολογιστή του επιτιθέμενου. Ιδιαίτερο ενδιαφέρον παρουσιάζει το γεγονός ότι τα κλεμμένα δεδομένα «ανέβαιναν» μη κρυπτογραφημένα στο server του επιτιθέμενου. «Η απόφαση να μη χρησιμοποιηθεί κρυπτογράφηση δημιουργεί ερωτήματα δεδομένου ότι η προσθήκη βασικής κρυπτογράφησης θα ήταν εύκολη και θα πρόσφερε επιπλέον προστασία από την ανίχνευση,», συμπληρώνει ο Jean-Ian Boutin.
Πλήρης τεχνική ανάλυση της επίθεσης διατίθεται στο WeLiveSecurity.com - – τη νέα πλατφόρμα της ESET με τις πιο πρόσφατες πληροφορίες και αναλύσεις για κυβερνοαπειλές και χρήσιμες συμβουλές ασφαλείας.
Ονομασίες Ανίχνευσης
Παρακάτω βρίσκεται λίστα με ονομασίες της ESET για τις απειλές που σχετίζονται με αυτή την πολύπλευρη και multi-vector επίθεση:
Win32/Agent.NLD worm
Win32/Spy.Agent.NZD Trojan
Win32/Spy.Agent.OBF Trojan
Win32/Spy.Agent.OBV Trojan
Win32/Spy.KeyLogger.NZL Trojan
Win32/Spy.KeyLogger.NZN Trojan
Win32/Spy.VB.NOF Trojan
Win32/Spy.VB.NRP Trojan
Win32/TrojanDownloader.Agent.RNT Trojan
Win32/TrojanDownloader.Agent.RNV Trojan
Win32/TrojanDownloader.Agent.RNW Trojan
Win32/VB.NTC Trojan
Win32/VB.NVM Trojan
Win32/VB.NWB Trojan
Win32/VB.QPK Trojan
Win32/VB.QTV Trojan
Win32/VB.QTY Trojan
Win32/Spy.Agent.NVL Trojan
Win32/Spy.Agent.OAZ trojan
Keywords
eset, eset, κλοπη, πακισταν, υφίσταται, malware, pdf, office, email, windows, server, νέα, trojan, αυθαιρετα, εδρα, ινδια, email, office, pdf, βρισκεται, γεγονος, εγγραφα, ερευνες, εταιρια, ετη, υπολογιστες, υφίσταται, ληψη, μορφη, ψευτικα, server, ιδιαιτερο, key, malware, windows, multi, πληροφοριες, trojan, θεματα
Τυχαία Θέματα
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Τεχνολογία
- Νέες ηλεκτρονικές υπηρεσίες προς τον πολίτη
- Αυτό Είναι Το 8-ιντσο Galaxy Tab 3 8.0 Της Samsung
- Game Maniacs: Δείξτε μας τα games σας και κερδίστε πλούσια δώρα
- Το Sony Xperia UL Ήρθε Στο Φως
- Απεβίωσε ο συνιδρυτής και μπασίστας των DIMLIGHT...
- AMD Richland APUs: Διέρρευσαν οι τιμές και η ημερομηνία κυκλοφορίας
- Επιστροφή στην Ιταλία σχεδιάζει ο Sawiris
- Η NSN δείχνει να αναστρέφει τα αρνητικά αποτελέσματα
- Εφαρμογή V-locity Server από την Orthology
- Δημοφιλέστερες Ειδήσεις PC Nea
- Νέες ηλεκτρονικές υπηρεσίες προς τον πολίτη
- Game Maniacs: Δείξτε μας τα games σας και κερδίστε πλούσια δώρα
- 2ο Συνέδριο e-business World 2013
- H COSMOTE και περισσότεροι από 30.000 θεατές στη συναυλία των Depeche Mode
- Sony: νέα, αδιάβροχη βιντεοκάμερα Handycam HDR-GW66VE
- Η EMC εξασφαλίζει την επιτυχία στο συνδυασμό Cloud και Documentum
- To Kaspersky Endpoint Security 10 for Windows κέρδισε το βραβείο VB100
- Η ESET ενημερώνει για επιθέσεις στο Πακιστάν με στόχο την κλοπή δεδομένων
- Γρήγορη, λεπτή, προσιτή: η νέα οθόνη gaming της AOC
- Τελευταία Νέα PC Nea
- Η ESET ενημερώνει για επιθέσεις στο Πακιστάν με στόχο την κλοπή δεδομένων
- Νέες ηλεκτρονικές υπηρεσίες προς τον πολίτη
- Sony: νέα, αδιάβροχη βιντεοκάμερα Handycam HDR-GW66VE
- 2ο Συνέδριο e-business World 2013
- H COSMOTE και περισσότεροι από 30.000 θεατές στη συναυλία των Depeche Mode
- To Kaspersky Endpoint Security 10 for Windows κέρδισε το βραβείο VB100
- Game Maniacs: Δείξτε μας τα games σας και κερδίστε πλούσια δώρα
- Η EMC εξασφαλίζει την επιτυχία στο συνδυασμό Cloud και Documentum
- Γρήγορη, λεπτή, προσιτή: η νέα οθόνη gaming της AOC
- Αndroid app of the day: Metro Athens
- Τελευταία Νέα Κατηγορίας Τεχνολογία
- Το ωραιότερο κατάστημά της στον κόσμο ετοιμάζει η Apple στο Σαν Φρανσίσκο
- Προϊστορικός εξάδελφος του καρχαρία είχε στόμα δισκοπρίονο
- Γιατί η φύση είναι κβαντική;
- Το Sony Xperia UL Ήρθε Στο Φως
- Αυτό Είναι Το 8-ιντσο Galaxy Tab 3 8.0 Της Samsung
- περίεργα πράγματα που έχουν πέσει από τους ουρανούς
- AMD Richland APUs: Διέρρευσαν οι τιμές και η ημερομηνία κυκλοφορίας
- Das Keyboard Model S Professional Quiet
- Προσθέστε το Facebook Chat στην εφαρμογή Messages του OS X Mountain Lion
- Νέο κακόβουλο λογισμικό εμφανίστηκε στα Mac