Laziok: o novo troiano que ameaça o setor energético
Durante os meses de janeiro e fevereiro de 2015, diferentes empresas pertencentes ao setor energético (em particular, empresas do setor Oil&Gas localizadas no Médio Oriente) sofreram ataques per...
Durante os meses de janeiro e fevereiro de 2015, diferentes empresas pertencentes ao setor energético (em particular, empresas do setor Oil&Gas localizadas no Médio Oriente) sofreram ataques perpetrados por um troiano descoberto e denominado pela Symantec como Laziok, que permite ao atacante aceder a informações confidenciais guardadas nas máquinas que foram comprometidas.
O vetor de ataque utilizado por Laziok é, de novo, o Spear Fishing, em particular, através do envio de e-mails utilizando um servidor de SPAM.
O e-mail que a vítima recebe contém um ficheiro Excel que, ao ser aberto, faz com que o troiano Lazaiock infete a máquina. O malware oculta-se na máquina, mudando de nome a cada certo tempo, e pode encontrar-se em algum dos seguintes diretórios:
- %SystemDrive%Documents and SettingsAll UsersApplication DataSystemOracleazioklmpxsearch.exe
- %SystemDrive%Documents and SettingsAll UsersApplication DataSystemOracleazioklmpxati.exe
- %SystemDrive%Documents and SettingsAll UsersApplication DataSystemOracleazioklmpxlsass.exe
- %SystemDrive%Documents and SettingsAll UsersApplication DataSystemOracleazioklmpxsmss.exe
- %SystemDrive%Documents and SettingsAll UsersApplication DataSystemOracleazioklmpxadmin.exe
- %SystemDrive%Documents and SettingsAll UsersApplication DataSystemOracleazioklmpxkey.exe
- %SystemDrive%Documents and SettingsAll UsersApplication DataSystemOracleazioklmpxtaskmgr.exe
- %SystemDrive%Documents and SettingsAll UsersApplication DataSystemOracleazioklmpxchrome.exe
A vulnerabilidade que o Laziok explora é a (CVE-2012-0158) Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability que afeta principalmente os servidores SQL da Microsoft. Esta vulnerabilidade já tinha sido utilizada por outro tipo de APT, a Red October.
O processo que o troiano segue após residir na máquina é o seguinte:
1. Remete informações ao atacante sobre a máquina infetada: nome da máquina, software instalado, tamanho da RAM, detalhes de CPU e GPU e tipo de antimalware instalado.
2. O atacante utiliza esta informação para realizar uma segunda infeção, distribuindo a partir de um C&C (localizados nos EUA, Reino Unido e Bulgária) payloads denominados Backdoor.Cyberat e Trojan.Zbot.
Atualmente, alguns fabricantes como a Symantec ou a Norton já lançaram soluções específicas para evitar o ataque do Laziok. Em qualquer caso, a seguir enumeramos algumas recomendações que ajudam a evitar o ataque deste tipo de ameaças:
- Evitar abrir e-mails, ficheiros e/ou aceder a links de duvidosa proveniência.
- Utilizar soluções antimalware que incorporem proteção contra vulnerabilidades.
- Segmentar e fortificar redes.
- Manter uma política correta de atualização de software.
