Trojan.Laziok атакует энергетические компании

Специалисты ИБ-компании Symantec сообщили о новом трояне-шпионе, получившем название Trojan.Laziok (по классификации Symantec). Вредонос действует в качестве разведывательного инструмента, позволяющего злоумышленникам собрать необходимую информацию для адаптации методов атаки на каждый скомпрометированный компьютер.

В период с января по февраль текущего года эксперты зафиксировали многоступенчатую кампанию, нацеленную на размещенные по всему миру энергетические предприятия. Под особо пристальное внимание злоумышленников попали Средневосточные компании.

По данным Symantec, самым таргетируемым регионом оказались Объединенные Арабские Эмираты (25%), чуть меньше случаев инфицирования зарегистрировано в Саудовской Аравии, Пакистане и Кувейте (по 10% в каждой стране), на последнем месте оказались Камерун, Колумбия, Уганда, Катар, Оман, Индия, Индонезия, США и Великобритания (по 5%).

Как выяснилось, большинство целевых компаний были связаны с нефтяной, газовой или гелиевой промышленностью, что позволяет предположить наличие у злоумышленников стратегического интереса в бизнес-операциях данных предприятий.

Руководствуясь собранной трояном информацией, преступники принимали критические решения о дальнейшем ходе атаки – продолжать или остановить. Троян распространялся в спам-письмах, к которым прикреплялось вредоносное вложение в виде документа Excel, содержащее эксплоит для уязвимости в Microsoft Windows (CVE-2012-0158), позволяющей выполнить произвольный код на целевой системе. Открытие жертвой файла Excel приводит к исполнению кода эксплоита, после чего происходит инфицирование целевой системы. Троян скрывается в директории %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle, где создает новые папки и переименовывает себя.

Вредонос собирал следующую информацию: имя компьютера, установленное ПО, объемы ОЗУ и жесткого диска, а также данные о процессоре и присутствующих в наличии антивирусах. Все полученные сведения троян отправлял злоумышленникам, которые затем инфицировали компьютер дополнительным вредоносным ПО.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s