21. máj, 2013 | Bratislava | Tlačové správy

ESET odhalil cielený kybernetický útok v Pakistane, na krádež údajov využíval falošné PDF prílohy

ESET, líder v proaktívnej ochrane pred internetovými hrozbami s 20-ročnou históriou, odhalil a analyzoval cielenú kampaň kybernetických zločincov, ktorí sa snažili kradnúť citlivé informácie z rôznych organizácií hlavne na území Pakistanu. Hrozba sa však obmedzene šírila aj v ďalších krajinách po celom svete. Niektoré informácie z priebehu vyšetrovania naznačujú, že hrozba pochádza z Indie a je aktívna už najmenej dva roky.


Tento cielený útok využíval šifrované podpisové certifikáty vydané zdanlivo legitímnou spoločnosťou na podpis škodlivých súborov, čím sa zvýšil ich potenciál pri ďalšom šírení. Spoločnosť bola založená v indickom Naí Dillí a certifikát bol vydaný v roku 2011. Malware sa šíril prostredníctvom dokumentov, ktoré boli rozosielané ako e-mailová príloha.


„Identifikovali sme niekoľko rôznych dokumentov obsahujúcich viacero motívov, ktoré by mohli byť lákavé pre potenciálnych príjemcov. Jedným z nich mali byť indické ozbrojené sily. Zatiaľ nemáme presné informácie o tom, na ktoré konkrétne osoby alebo organizácie boli tieto súbory zamerané. Na základe nášho výskumu však predpokladáme, že malo ísť o ľudí a inštitúcie v Pakistane,“ hovorí Jean-Ian Boutin, výskumník spoločnosti ESET.


Jeden z falošných súborov sa šíril prostredníctvom samorozbaľovacieho archívu s názvom „pakistandefencetoindiantopmiltrysecereat.exe“ a jeho údaje podľa ESETu ukazujú, že táto kampaň postihla zo 79 percent práve počítače v Pakistane.

Detection Distribution


Prvý spôsob šírenia zneužíval zraniteľnosť známu ako CVE–2012–0158. Táto chyba môže byť zneužitá prostredníctvom špeciálne upravených dokumentov Microsoft Office a umožňuje spustiť ľubovoľný škodlivý kód. Infikované dokumenty boli rozosielané elektronickou poštou a malware sa spustil bez vedomia užívateľa vo chvíli, keď súbor otvoril. Ďalší malware, ktorý sa šíril tiež e-mailom, sa skrýval v spustiteľných súboroch, ktoré vyzerali ako dokumenty Word alebo PDF. Aby sa autori vyhli podozreniu, v oboch prípadoch sa po spustení škodlivého súboru otvoril aj falošný dokument.


Malware kradol citlivé údaje z infikovaného počítača a posielal ich na servery útočníkov. Na túto činnosť používal hneď niekoľko rôznych techník určených na krádež dát. Medzi iným key loggery, ktoré snímajú stlačenia jednotlivých kláves na počítači, tvorbu obrázkov z plochy užívateľa a odosielanie dokumentov na útočníkov počítač. Je zaujímavé, že ukradnuté informácie sa z infikovaného počítača nahrávali na server útočníka v nešifrovanej podobe.

„Rozhodnutie nepoužívať šifrovanie je pre nás záhadou. Pridanie základného šifrovania by bolo jednoduché a útoku by poskytlo vyššiu mieru utajenia,“ dodáva Jean-Ian Boutin.


Kompletná technická analýza tejto hrozby je dostupná na servery WeLiveSecurity.com, platforme spoločnosti ESET, ktorá obsahuje aktuálne informácie a analýzy kybernetických hrozieb a taktiež užitočné bezpečnostné tipy.


Názvy detegovaných hrozieb
Táto hrozba má mnoho častí a vektorov šírenia, nižšie nájdete názvy hrozieb, ktoré súvisia s týmto prípadom.

Win32/Agent.NLD worm
Win32/Spy.Agent.NZD Trojan
Win32/Spy.Agent.OBF Trojan
Win32/Spy.Agent.OBV Trojan
Win32/Spy.KeyLogger.NZL Trojan
Win32/Spy.KeyLogger.NZN Trojan
Win32/Spy.VB.NOF Trojan
Win32/Spy.VB.NRP Trojan
Win32/TrojanDownloader.Agent.RNT Trojan
Win32/TrojanDownloader.Agent.RNV Trojan
Win32/TrojanDownloader.Agent.RNW Trojan
Win32/VB.NTC Trojan
Win32/VB.NVM Trojan
Win32/VB.NWB Trojan
Win32/VB.QPK Trojan
Win32/VB.QTV Trojan
Win32/VB.QTY Trojan
Win32/Spy.Agent.NVL Trojan
Win32/Spy.Agent.OAZ trojan

 



O spoločnosti ESET – už 20 rokov chránime vaše digitálne svety

Spoločnosť ESET, ktorá tento rok oslavuje 20. výročie svojho založenia, je svetovým výrobcom bezpečnostného softvéru pre firemnú klientelu a domácnosti. Je lídrom na trhu proaktívnej detekcie počítačových hrozieb. Vďaka technológii Live Grid® využíva ESET dáta od dobrovoľných používateľov z celého sveta, a tak okamžite reaguje na nové hrozby. ESET NOD32 Antivirus drží rekord v ocenení VB100 testu britského Virus Bulletin, vysoko-rešpektovanej nezávislej testovacej organizácie.


ESET sídli v Bratislave, regionálne pobočky má v Prahe, ČR; San Diegu, USA; Buenos Aires, Argentína a Singapure. Výskumné centrá ESET pre analýzu malware sú okrem Bratislavy, aj v San Diegu, v Prahe, poľskom Krakove, kanadskom Montreale a v Moskve. ESET má zastúpenie vo viac ako 180 krajinách sveta.


Firma už desať rokov za sebou patrí podľa rebríčka Deloitte Technology Fast 500 EMEA medzi najrýchlejšie rastúce technologické spoločnosti v regióne Európy, Blízkeho východu a Afriky. Týždenník Trend ocenil ESET trikrát za sebou titulom Firma roka.