Symantec ha anunciado el descubrimiento de Trojan.Laziok, una
nueva muestra de malware que durante los primeros meses del año atacó de forma
dirigida a empresas del sector energético de todo el mundo.
Desde Symantec
reconocen que aunque el malware atacó a empresas energéticas de todo el mundo,
se evidencia un enfoque muy dirigido contra Oriente Medio. Con objetivos
vinculados a industrias petroleras y gasísticas, estaba destinado a la
obtención de información de los ordenadores comprometidos. Por lo que todo
indica un interés estratégico en el ataque.
Laziok ha afectado a
países como Camerún, Colombia, India, Indonesia, Kuwait, Omán, Pakistán, Qatar,
Arabia Saudí, Uganda, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.
Las investigaciones de
Symantec revelan que el vector de infección inicial residía en el uso de
mensajes de spam desde el dominio moneytrans[.]eu, que actúa como un servidor
SMTP con relay abierto. Los correos incluían un adjunto malicioso con un
exploit para la vulnerabilidad CVE-2012-0158 en Office. Esta es la parte más
sorprendente. De nuevo la misma vulnerabilidad, ya empleada en ataques
conocidos como el OctubreRojo y que fue corregida hace por Microsoft hace tres
años.
Detalle de la operativa del malware
- Si el usuario abría el archivo adjunto, habitualmente en formato Excel, se ejecutaba el código del exploit y Trojan.Laziok iniciaba su proceso de infección.
- El troyano se escondía en la carpeta:
%SystemDrive%\Documents and Settings\All
Users\Application Data\System\Oracle escondiéndose bajo nombres de archivos
populares.
- El proceso de reconocimiento comienza recogiendo información del sistema infectado (como nombre del ordenador, software instaldo, RAM, disco duro, CPU o antivirus). Esta información se enviaba a los atacantes que en caso de encontrar un objetivo interesante para sus propósitos infectaban el sistema con malware adicional, empleando copias adaptadas de Cyberat o Zbot.
- En esta ocasión y para variar frente a otras "ciber-armas", el uso de exploits ya anticuados sin ninguna novedad relevante hacen pensar que el origen de este ataque no es especialmente avanzado.
- Una vez más el problema reside en una mala aplicación de los parches y actualizaciones. Por ello, los atacantes no han necesitado encontrar nuevas vulnerabilidades, ni desarrollar nuevos exploits, para realizar sus acciones.
- New reconnaissance threat Trojan.Laziok targets the energy sector http://www.symantec.com/connect/blogs/new-reconnaissance-threat-trojanlaziok-targets-energy-sector