2.10.2014 0 Comments

Viruslab: Staronový trójsky kôň BlackEnergy opäť útočí

Minulý mesiac bol vskutku bohatý na výskum ESETu. Niežeby v iné mesiace tím v ESET Virus labe podriemkaval - dôvod bol prozaickejší, v septembri sa v americkom Seattli uskutočnila každoročná konferencia Virus Bulletinu. Ide o jedno z najprestížnejších odborných podujatí v našej branži, preto sme tam s viacerými príspevkami nemohli chýbať.

Mňa zaujal najmä ten od Roba Lipovského, na ktorý sa pozrieme bližšie a o ktorom Robo aj písal na spravodajskom portáli ESETu WeLiveSecurity.com. Ide o trójskeho koňa BlackEnergy. Nie je to síce nijaká novinka, prvýkrát ho objavili už pred siedmimi rokmi, no posledné mesiace ukázali, že je stále viac ako aktívny v mnohých formách a že z jednoduchého DDoS trójskeho koňa sa stal sofistikovaný malvér. Ovláda sa na diaľku, získava dáta z pevných diskov infikovaných používateľov a jeho použitie je rozsiahle - od rozposielania spamu cez podvody v on-line bankovníctve až po cielené útoky.

Zaujímavosťou jeho poslednej „distribučnej kampane" bolo, že na svoje rozšírenie využíval dokumenty súvisiace so súčasnou geopolitickou krízou na Ukrajine, a teda asi nie je veľmi prekvapivé, že podstatná časť jeho cieľov bola práve na Ukrajine a v Poľsku.

Nové verzie Black Energy zaznamenali výskumníci v ESET labe už začiatkom tohto roka - išlo o ľahkú novú verziu malvéru, oveľa menej zaťažujúcu počítač, aj preto prezývka BlackEnergy Lite. Nová verzia sa pritom využíva na cielené útoky a počas nášho monitorovania botnetov sme narátali desiatky jeho obetí. Cieľom najmä v spomínaných krajinách pritom boli mnohé štátne organizácie či firmy. Aj vektory šírenia boli rôzne - zneužíva zraniteľnosti systému, sociálne inžinierstvo a zaujímavé sú rôzne falošné dokumenty, ktoré obete zaujali natoľko, že si ich otvorili. Jeden z nich mal blízko k nášmu domovu - išlo o správu z bratislavskej bezpečnostnej konferencie Globsec, druhá správa však bola vymyslená, titulok znel: Ruskí veľvyslanci sa chystajú dobyť svet. Iný dokument s názvom v ukrajinčine zas mal prinášať zoznam hesiel.

Podľa telemetrie nášho systému LiveGrid sme útoky zaznamenali ešte minulý mesiac - využívali na šírenie napríklad powerpointovú prezentáciu či zraniteľnosti v Jave.

Príspevok Roba Lipovského na VB konferencii bol síce pre nás smrteľníkov trochu strašidelný, ale na zaujímavosti mu to neubralo. V každom prípade dúfam, že vy sa s obdobnou infekciou nebudete musieť stretávať. Ako každý mesiac aj teraz vám želám bezpečné surfovanie.

Článok vznikol v spolupráci s firmou ESET.


Nechajte si posielať prehľad najdôležitejších správ emailom

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá