Sliedrecht, 14 augustus 2019 – ESET-onderzoekers hebben een kwaadaardige malwarecampagne ontdekt die al sinds 2016 actief is in vier Europese Balkanlanden: Servië, Kroatië, Montenegro en Bosnië en Herzegovina. De slachtoffers van deze aanval zijn financiële afdelingen van bedrijven.
De aanvallers gebruikten kwaadaardige e-mails met links naar een schadelijk bestand om de malware te verspreiden. “Gezien de inhoud van de e-mails, inclusief links en misleidende PDF’s, over belastingen gaat, lijkt het erop dat de aanvallers zich richten op accountants binnen organisaties in de regio. We denken daarom dat er een financieel doeleind achter deze campagne zit,” legt Zuzana Hromcová, leider van dit onderzoek, uit.
ESET-onderzoekers hebben ook twee kwaadaardige tools ontdekt die van groot belang zijn voor de campagne. De eerste tool is een backdoor, de tweede een remote access Trojan. ESET heeft deze tools respectievelijk BalkanDoor en BalkanRAT genoemd. “Doorgaans worden beide tools ingezet op de computer van een slachtoffer in deze campagne; beide zijn in staat volledige controle over de getroffen machine te verkrijgen,” zegt Hromcová.
Deze ongewone tactiek maakt het mogelijk voor aanvallers om de meest geschikte methode te kiezen om de getroffen computers onder controle te krijgen. “BalkanRAT maakt het mogelijk voor aanvallers om de gecompromitteerde computer op afstand te beheren via een grafisch interface,” legt Hromcová uit. “BalkanDoor maakt het mogelijk om op afstand de gecompromitteerde computer, mogelijk meerdere tegelijk, te beheren via een command line.”
ESETs analyse van deze kwaadaardige tools brachten een aantal noemenswaardige functies aan het licht. BalkanDoor, op zich een eenvoudige backdoor, is in staat om zonder gebruik van een wachtwoord een scherm te ontgrendelen. Dit is waardevol voor de aanvallers in het geval dat een ingelogde gebruiker zijn of haar computer vergrendelt. BalkanRAT daarentegen misbruikt legitieme commerciële remote desktop-software die de activiteiten van het slachtoffer kan monitoren en die handmatig de computer kan beheren. Extra tools en scripts worden ook door BalkanRAT gebruikt om zijn aanwezigheid voor de slachtoffers te verbergen, bijvoorbeeld door het verbergen van het scherm, de taakbalk en diens processen.
De meest recente samples van BalkanDoor misbruiken de WinRAR ACE-kwetsbaarheid waardoor de malware uitgevoerd en geïnstalleerd kan worden. Het uitvoerbare bestand is namelijk een zelfstandige uitpakker van WinRAR met een PDF-icoontje om de gebruiker te misleiden. Wanneer het bestand wordt uitgevoerd, wordt de inhoud automatisch uitgepakt, waarna de kwetsbaarheid wordt misbruikt om BalkanDoor of BalkanRAT onopgemerkt te installeren. Vervolgens wordt de misleidende PDF geopend op argwaan te voorkomen. Zowel BalkanDoor als BalkanRAT zijn digitaal ondertekend. “We hebben verscheidene certificaten gezien: één ervan was zelfs geldig op moment van schrijven en is sindsdien ingetrokken,” concludeert Hromcová.
ESETs beveiligingsoplossingen detecteren deze dreigingen onder de namen Win{32,64}/BalkanRAT en Win32/BalkanDoor.
Lees voor meer informatie de blogpost “In the Balkans, businesses are under fire from a double-barreled weapon” op WeLiveSecurity.com.
Over ons
Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D-centra over de hele wereld, is ESET het eerste IT-beveiligingsbedrijf dat 100 Virus Bulletin VB100-awards heeft verdiend, waarmee elke afzonderlijke "in-the-wild" malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook en Twitter.