ZxxZ Trojan

Troianul ZxxZ este o amenințare malware necunoscută anterior, care este implementată ca parte a operațiunilor dăunătoare atribuite grupului Bitter ATP (Advanced Persistent Threat). Detalii despre amenințarea în sine, precum și despre campania de atac au fost dezvăluite publicului într-un raport al cercetătorilor de la Cisco Talos. Ținta principală a troianului ZxxZ este guvernul Bangladeshului, iar obiectivul probabil este spionajul cibernetic și furtul de date.

Amenințarea este livrată ca fișier executabil Windows pe 32 de biți pe dispozitivele afectate. Este capabil să preia și apoi să execute module suplimentare corupte. Aceste componente sunt aruncate pe mașinile infectate ca fișiere cu nume generice similare cu „ntfsc.exe”, „Update.exe” etc. Modulele sunt stocate în folderul local de date ale aplicației și sunt executate ca o actualizare de securitate Windows.

Troianul ZxxZ este echipat cu mai multe funcții anti-detecție, inclusiv șiruri ofucate, capacitatea de a căuta și de a ucide procesele Windows Defender și alte soluții anti-malware. Ulterior, amenințarea va activa o funcție de colectare a informațiilor. Datele dobândite vor fi stocate într-un buffer de memorie, înainte de a fi exfiltrate pe serverele Command-and-Control (C2) ale operațiunii. Răspunsul de la serverul C2 va fi un executabil portabil introdus în locația „%LOCALAPPDATA%\Debug\”. În cazul unei erori în timpul livrării acestui executabil, ZxxZ va reîncerca procesul de exact 225 de ori înainte de a se opri și de a ieși.

Trebuie remarcat faptul că cercetătorii găsit două lanțuri de infecție, ambele versiuni încep cu un e-mail spear-phishing. Aceste mesaje atractive sunt ascunse în spatele adreselor de e-mail falsificate pentru a trece drept corespondență legitimă provenind de la organizațiile guvernamentale pakistaneze. Cu toate acestea, atașamentele de fișiere cu arme pot fi diferite. Într-un caz, e-mailurile cu momeală aveau un fișier .RTF care exploatează vulnerabilitatea CVE-2017-11882 pentru a compromite mașinile cu versiuni vulnerabile de Microsoft Office. Cealaltă variantă a lanțului de atac utilizează în schimb un document .XLSX. De data aceasta, atacatorii profită de vulnerabilitățile CVE-2018-0798 și CVE-2018-0802 pentru a declanșa execuția de cod de la distanță în instanțe Microsoft Office învechite.