Symantec
ha anunciado el
descubrimiento de Trojan.Laziok, una nueva
muestra de malware que durante los primeros meses del año atacó de forma
dirigida a empresas del sector
energético de todo el mundo.
Desde Symantec reconocen que
aunque el malware atacó a empresas energéticas de todo el mundo, se evidencia
un enfoque muy dirigido contra Oriente Medio. Con objetivos vinculados a
industrias petroleras y gasísticas, estaba destinado a la obtención de información
de los ordenadores comprometidos. Por lo que todo indica un interés estratégico
en el ataque.
Laziok ha afectado a países como Camerún,
Colombia, India, Indonesia, Kuwait, Omán, Pakistán, Qatar, Arabia Saudí,
Uganda, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.
Las investigaciones de Symantec
revelan que el vector de infección inicial residía en el uso de mensajes de
spam desde el dominio moneytrans[.]eu, que actúa como un servidor SMTP con
relay abierto. Los correos incluían un adjunto malicioso con un exploit para la
vulnerabilidad CVE-2012-0158 en Office. Esta es la parte más sorprendente. De
nuevo la misma vulnerabilidad, ya empleada en ataques conocidos como el OctubreRojo y que fue corregida hace por Microsoft hace tres años.
Si el usuario abría el archivo
adjunto, habitualmente en formato Excel, se ejecutaba el código del exploit y Trojan.Laziok
iniciaba su proceso de infección.
El troyano se escondía en la
carpeta
%SystemDrive%Documents and
SettingsAll UsersApplication DataSystemOracle escondiéndose bajo nombres de
archivos populares.
El proceso de reconocimiento
comienza recogiendo información del sistema infectado (como nombre del
ordenador, software instaldo, RAM, disco duro, CPU o antivirus). Esta
información se enviaba a los atacantes que en caso de encontrar un objetivo
interesante para sus propósitos infectaban el sistema con malware adicional,
empleando copias adaptadas de Cyberat o Zbot.
En esta ocasión y para variar
frente a otras "ciber-armas",
el uso de exploits ya anticuados sin ninguna novedad relevante hacen pensar que
el origen de este ataque no es especialmente avanzado.
Una vez más el problema reside en
una mala aplicación de los parches y
actualizaciones. Por ello, los atacantes no han necesitado encontrar nuevas
vulnerabilidades, ni desarrollar nuevos exploits, para realizar sus acciones.
Más información:
New reconnaissance threat Trojan.Laziok targets
the energy sector
una-al-dia (10/04/2012) Boletines
de seguridad de Microsoft en abril
una-al-dia (17/01/2013) Operación
octubre rojo: un malware muy "personal" (I)
una-al-dia (18/01/2013) Operación
octubre rojo: un malware muy "personal" (y II)
Antonio Ropero
Twitter: @aropero
