ZxxZ Trojan

Il trojan ZxxZ è una minaccia malware precedentemente sconosciuta, che viene implementata come parte delle operazioni dannose attribuite al gruppo Bitter ATP (Advanced Persistent Threat). I dettagli sulla minaccia stessa, così come la campagna di attacco, sono stati rivelati al pubblico in un rapporto dei ricercatori di Cisco Talos. L'obiettivo principale del trojan ZxxZ è il governo del Bangladesh e l'obiettivo probabile è lo spionaggio informatico e il furto di dati.

La minaccia viene fornita come file eseguibile di Windows a 32 bit sui dispositivi violati. È in grado di recuperare e quindi eseguire moduli danneggiati aggiuntivi. Questi componenti vengono rilasciati sui computer infetti come file con nomi generici simili a 'ntfsc.exe', 'Update.exe' e così via. I moduli vengono archiviati nella cartella dei dati dell'applicazione locale ed eseguiti come aggiornamento della sicurezza di Windows.

Il trojan ZxxZ è dotato di diverse funzionalità anti-rilevamento, tra cui stringhe offuscate, la possibilità di cercare e terminare i processi di Windows Defender e altre soluzioni anti-malware. Successivamente, la minaccia attiverà una funzione di raccolta di informazioni. I dati acquisiti verranno archiviati in un buffer di memoria, prima di essere esfiltrati ai server Command-and-Control (C2) dell'operazione. La risposta dal server C2 sarà un eseguibile portatile inserito nella posizione '%LOCALAPPDATA%\Debug\'. In caso di errore durante la consegna di questo eseguibile, ZxxZ ritenterà il processo esattamente 225 volte prima di fermarsi e uscire.

Va notato che i ricercatori trovato due catene di infezione, entrambe le versioni iniziano con un'e-mail di spear-phishing. Questi messaggi di richiamo sono nascosti dietro indirizzi e-mail falsificati per passare come corrispondenza legittima proveniente da organizzazioni governative pakistane. Tuttavia, gli allegati dei file armati possono essere diversi. In un caso, le e-mail di richiamo contenevano un file .RTF che sfrutta la vulnerabilità CVE-2017-11882 per compromettere le macchine con versioni vulnerabili di Microsoft Office. L'altra variante della catena di attacco utilizza invece un documento .XLSX. Questa volta, gli aggressori sfruttano le vulnerabilità CVE-2018-0798 e CVE-2018-0802 per attivare l'esecuzione di codice in modalità remota in istanze di Microsoft Office obsolete.