ZxxZ Trojan

El troià ZxxZ és una amenaça de programari maliciós desconeguda anteriorment, que s'està desplegant com a part de les operacions nocives atribuïdes al grup Bitter ATP (Amenaça persistent avançada). Els detalls sobre l'amenaça en si, així com la campanya d'atac es van revelar al públic en un informe dels investigadors de Cisco Talos. L'objectiu principal del troià ZxxZ és el govern de Bangla Desh i l'objectiu probable és el ciberespionatge i el robatori de dades.

L'amenaça es lliura com a fitxer executable de Windows de 32 bits als dispositius violats. És capaç d'aconseguir i després executar mòduls danyats addicionals. Aquests components es col·loquen a les màquines infectades com a fitxers amb noms genèrics similars a "ntfsc.exe", "Update.exe", etc. Els mòduls s'emmagatzemen a la carpeta de dades de l'aplicació local i s'executen com una actualització de seguretat de Windows.

El troià ZxxZ està equipat amb diverses funcions anti-detecció, com ara cadenes ofuscades, la capacitat de cercar i eliminar els processos de Windows Defender i altres solucions anti-malware. Després, l'amenaça activarà una funció de recollida d'informació. Les dades adquirides s'emmagatzemaran en un buffer de memòria, abans de ser exfiltrades als servidors de comandament i control (C2) de l'operació. La resposta del servidor C2 serà un executable portàtil col·locat a la ubicació '%LOCALAPPDATA%\Debug\'. En cas d'error durant el lliurament d'aquest executable, ZxxZ tornarà a provar el procés exactament 225 vegades abans d'aturar-se i sortir.

Cal destacar que els investigadors trobat dues cadenes d'infecció, ambdues versions comencen amb un correu electrònic de pesca de pesca. Aquests missatges d'atracció s'amaguen darrere d'adreces de correu electrònic falsificades per passar com a correspondència legítima procedent d'organitzacions governamentals pakistaneses. Tanmateix, els fitxers adjunts armats poden ser diferents. En un cas, els correus electrònics d'atracció portaven un fitxer .RTF que explota la vulnerabilitat CVE-2017-11882 per comprometre les màquines amb versions vulnerables de Microsoft Office. L'altra variació de la cadena d'atac utilitza un document .XLSX. Aquesta vegada, els atacants aprofiten les vulnerabilitats CVE-2018-0798 i CVE-2018-0802 per activar l'execució de codi remota en instàncies obsoletes de Microsoft Office.