Компанія ESET — лідер у галузі розробки антивірусного програмного забезпечення — повідомляє про виявлення масштабної кіберзлочинної кампанії, спрямованої на крадіжку конфіденційних даних різних організацій. Незважаючи на те, що шкідлива активність зафіксована в багатьох країнах світу, в тому числі і в Україні, найбільша кількість атак здійснювалося в Пакистані. Після проведеного аналізу спеціадісти ESET дійшли висновку, що ця кампанія бере свій початок в Індії і триває вже не менше двох років.
Під час здійснення атак використовувався дійсний цифровий сертифікат, яким були підписані виконувані файли, що забезпечило скритність і швидке поширення шкідливого коду. Згідно з отриманими даними, сертифікат було випущено у 2011 році для індійської компанії, заснованої в Нью Делі. Для поширення виявленої загрози використовувалися вкладення електронних листів.
«Ми виявили кілька документів з різними темами, що привертають увагу одержувачів. Так, наприклад, один з виявлених документів використовував тему індійських збройних сил. У нас немає точної інформації про те, на кого були спрямовані ці файли. Грунтуючись на результати проведених досліджень, можемо лише припустити, що основною метою кіберзлочинців були люди та організації в Пакистані. Згідно з даними, отриманими за допомогою технології телеметрії, 79 % постраждалих перебували на території саме цієї країни, — розповідає Жан-Ян Бутин, спеціаліст дослідницької лабораторії ESET. — Загроза поширювалася електронною поштою під виглядом різних документів. Одним з прикладів таких шкідливих вкладень став PDF-файл, який був доставлений через архів, що саморозпаковується, і мав назву "pakistandefencetoindiantopmiltrysecreat.exe"».
В одному з векторів атаки використовувалася широко популярна уразливість CVE-2012-0158. Використання даної уразливості здійснювалося через спеціально створений документ Microsoft® Office, в результаті чого в операційній системі виконувався довільний код. Документи доставлялися електронною поштою та після їх відкриття починав виконуватися шкідливий код без відома жертви. Інший вектор атаки полягав у використанні виконуваних файлів, які були замасковані під виглядом документів Microsoft Word або PDF і розповсюджувалися також за допомогою електронної пошти. Як тільки користувач запускав файл, загроза завантажувала та запускала на виконання додаткові шкідливі модулі. В обох випадках для маскування шкідливий код дійсно відображав користувачеві документ з певним вмістом.
Шкідлива програма здійснювала крадіжку конфіденційних даних з інфікованих комп'ютерів та відправляла їх на віддалені сервери. При цьому використовувалися різні методи крадіжки інформації, такі як кейлоггер, або клавіатурний шпигун, знімки екрану та відправлення документів на комп'ютер зловмисників. Цікавим є той факт, що вкрадена інформація пересилалася з інфікованого комп'ютера на віддалений сервер у незашифрованому вигляді. «Особливе здивування викликає відсутність шифрування, що дозволяє виявити шкідливу активність досить просто», — додає Жан-Ян Бутин, спеціаліст дослідницької лабораторії ESET.
Назви об'єктів
Продукти ESET виявляють шкідливі об'єкти, які використовувалися у цій кампанії, під наступними назвами:
Win32/Agent.NLD worm
Win32/Spy.Agent.NZD Trojan
Win32/Spy.Agent.OBF Trojan
Win32/Spy.Agent.OBV Trojan
Win32/Spy.KeyLogger.NZL Trojan
Win32/Spy.KeyLogger.NZN Trojan
Win32/Spy.VB.NOF Trojan
Win32/Spy.VB.NRP Trojan
Win32/TrojanDownloader.Agent.RNT Trojan
Win32/TrojanDownloader.Agent.RNV Trojan
Win32/TrojanDownloader.Agent.RNW Trojan
Win32/VB.NTC Trojan
Win32/VB.NVM Trojan
Win32/VB.NWB Trojan
Win32/VB.QPK Trojan
Win32/VB.QTV Trojan
Win32/VB.QTY Trojan
Win32/Spy.Agent.NVL Trojan
Win32/Spy.Agent.OAZ trojan