A fost descoperit un nou keylogger folosit in atacuri directionate

Cercetatorii de securitate de la Radware au descoperit un nou troian keylogger, numit Admin.HLP, care culege informatii sensibile ale utilizatorilor si incearca sa le exporte pe un server dedicat aflat la distanta.

Fisierul malware vine ascuns intr-un fisier help standard din Windows, numit Amministrazione.hlp, si a fost utilizat in atacuri directionate impotriva a cel putin un client Radware, a declarat compania.

Tactica de a utiliza fisierele help din Windows ca sursa de infectie este rareori intalnita, spre deosebire de alte fisiere executabile comune, despre care chiar si utilizatorii incepatori stiu ca ar putea fi periculoase.

Potrivit Radware, Admin.HLP inregistreaza fiecare apasare de tasta de pe computerul victimei, colecteaza parolele utilizatorilor, numere de carti de credit si alte informatii sensibile. Troianul nu foloseste un server de comanda si control (C&C), ci pur si simplu incearca sa exporte date catre un server dedicat aflat la distanta, prin intermediul unei conexiuni HTTPS.

Deoarece Radware nu este o companie furnizoare de solutii anti-malware, aceasta nu va crea neaparat un instrument pentru a identifica si elimina troianul Admin.HLP. In timp ce companiile furnizoare de solutii anti-virus nu pot fi in masura sa identifice inca malware-ul, este totusi posibil ca acestea sa gaseasca o solutie in zilele urmatoare.

Atacurile directionate impotriva industriei aerospatiale utilizeaza Sykipot lalware

Conform cercetatorilor de la firma de securitate AlienVault, noile atacuri e-mail-based, dintre care unele vizeaza chiar industria aerospatiala, distribuie noi variante ale malware-ului Sykipot ce fura informatii sensibile.

"Am detectat un nou val de campanii Sykipot care au fost derulate in ultimele saptamani. De asemenea, exista mai multe modificari intre noile campanii Sykipot si cele vechi. Exista indicii care sugereaza ca aceste atacuri sunt originare din China, desi acest lucru nu poate fi confirmat cu o certitudine de 100%" a declarat luni intr-un post pe blog Jaime Blasco, manager la AlienVault.

E-mailurile periculoase trimise in noul atac nu mai distribuie atasamente malware care exploateaza vulnerabilitati din Adobe Reader, Microsoft Excel sau Internet Explorer, pentru a instala Sykipot. In schimb, acestea contin link-uri catre site-uri compromise, care exploateaza o vulnerabilitate Flash Player din 2011 sau o vulnerabilitate din Microsoft XML Core Services (MSXML) care inca asteapta un patch.

Despre vulnerabilitatea MSXML se crede ca a fost exploatata in atacurile din iunie si ca a determinat ca Google sa-si avertizeze utilizatorii de Gmail despre aceste atacuri. Microsoft a lansat un fix manual pentru aceasta vulnerabilitate pe 12 iunie. Cu toate acestea, compania ar trebui sa ofere un patch de securitate automat cat mai curand posibil, deoarece numarul de atacuri care exploateaza vulnerabilitatea in cauza este in crestere, a declarat Blasco.

Troianul Sykipot a fost utilizat si in cursul anului trecut, in atacuri directonate impotriva agentiilor federale americane si a altor organizatii care stocheaza informatii sensibile pe sistemele lor informatice.

Noul troian ZeuS nu mai are nevoie de servere de comanda si control

Infractorii cibernetici folosesc in prezent o versiune modificata a troianului ZeuS care nu se mai bazeaza pe servere dedicate de comanda si control (C&C) pentru a primi instructiuni, potrivit cercetatorilor de securitate Symantec.

Zeus este foarte popular in lumea infractorilor cibernetici deoarece este capabil de a fura o mare varietate de informatii, printre care documente si date de logare de la sistemele infectate. Timp de multi ani a fost arma preferata a celor mai multi escroci care vizau sistemele de online banking.

Codul sursa al troianului a fost publicat anul trecut pe forumurile neoficiale de pe internet, deschizand astfel calea tertelor parti de a aduce modificari si imbunatatiri la structura si functionalitatea acestuia.

In noiembrie 2011, cercetatorii de securitate au identificat o varianta puternic modificata a lui ZeuS, capabila de a transmite comenzi de la un computer compromis la altul, intr-o maniera peer-to-peer (P2P). Acea versiune a troianului inca era conectata la un server dedicat de C&C pentru a preda informatiile furate si pentru a primi instructiuni noi, dar folosea sistemul P2P ca un mecanism de backup in cazul in care serverul devenea indisponibil.

Cu toate acestea, o noua varianta detectata recent de Symantec a eliminat complet nevoia de conectare la servere C&C. "Fiecare peer din botnet poate actiona ca un server C&C, in timp ce niciunul dintre ele nu sunt cu adevarat" a declarat miercuri cercetatorul Symantec Andrea Lelli intr-un post pe blog.

Pentru a pune in aplicare aceasta functionalitate, creatorii noii variante ZeuS au inclus serverul web Nginx in troian, care permite oricarui calculator infectat sa primeasca si sa trimita date prin protocolul HTTP. Acest lucru face ca botnetul sa fie mai rezistent la tentative de anihilare, deoarece nu mai exista o singura piesa de rezistenta, ci mai multe, si impiedica de asemenea sistemele de urmarire a botneturilor, cum ar fi ZeusTracker.

Cercetatorii Symantec au aflat desprea aceasta noua varianta ZeuS ca distribuie programe antivirus false. Cu toate acestea, nimeni nu si-a dat inca seama cum trimite informatiile furate inapoi la atacatori, in lipsa unor servere dedicate de C&C.