Злоумышленники используют Laziok в качестве разведывательного инструмента

Тема в разделе "Новости информационной безопасности", создана пользователем Dragokas, 27 апр 2016.

  1. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.493
    Симпатии:
    4.310
    На протяжении марта 2016 года группа злоумышленников использовала комбинацию из эксплойтов в браузере Internet Explorer, сценариев Windows PowerShell, не имеющих ограничений и вирус, хранящийся в Google Docs для заражения жертвы троянской программой Laziok.

    Троян Laziok появился на сцене вредоносного ПО в Марте 2015-го в то время, как Symantec наблюдал за кибер-шпионской группой, применявшей этот троян на компаниях из сектора энергетической промышленности на среднем востоке.

    Laziok является простым шпионом, регулярно использовавшемся в разведывательных кампаниях в процессе сбора злоумышленниками информации о своей жертве с целью последующей атаки на нее на более поздней стадии.

    Атака начинается с вредоносного кода JavaScript, который размещен на польском сервере.

    Антивирусные аналитики из фирмы FireEye столкнулись с этой угрозой во время анализа данных телеметрии и сообщили, что в ней был заключен вредоносный JavaScript, размещенный на польском сервере.

    Если жертва, использующая браузер Internet Explorer, будет каким-то образом обманута с целью перейти на страницу, содержащую вредоносный код, то будет запущен эксплойт на основе уязвимости CVE-2014-6332, и через Internet Explorer запустится сценарий VBScript.

    Уязвимость содержат все версии браузера IE от 3 до 11 и мошенники могут войти в так называемый Режим Бога (GodMode) на машине пользователя. Из-под него злоумышленники используют сценарий Windows PowerShell, чтобы загрузить исполняемый файл Laziok по URL-адресу из Google Docs.

    Laziok – это идеальный инструмент для разведки.

    Как только Laziok будет установлен, троян немедленно запускает сбор информации о жертве. Шпион собирает информацию об имени компьютера, подробностях о процессоре, размере ОЗУ, расположении (стране), и установлен ли у пользователя какой-либо антивирус.

    Затем информация передается на сервер злоумышленников, где она, вероятно, используется при других атаках, если они еще не проводились.

    Исследователи безопасности отметили весьма любопытным тот факт, что злоумышленникам удалось воспользоваться серверами Google для хостинга Laziok. Известно, что Google запускает автоматический поиск вирусов во всех файлах, загружаемых на их сервера.

    Источник: news.Softopedia.com
    Перевод: Dragokas.
     
    Охотник, orderman, shestale и ещё 1-му нравится это.

Поделиться этой страницей