ZxxZ Trojan

Trojan ZxxZ është një kërcënim i panjohur më parë i malware, që është duke u vendosur si pjesë e operacioneve të dëmshme që i atribuohen grupit Bitter ATP (Kërcënimi i Përparuar i Përparuar). Detaje rreth vetë kërcënimit, si dhe fushatës së sulmit u zbuluan për publikun në një raport nga studiuesit në Cisco Talos. Objektivi kryesor i trojanit ZxxZ është qeveria e Bangladeshit dhe qëllimi i mundshëm është spiunazhi kibernetik dhe vjedhja e të dhënave.

Kërcënimi dorëzohet si një skedar i ekzekutueshëm i Windows 32-bit në pajisjet e shkelura. Ai është në gjendje të marrë dhe më pas të ekzekutojë module shtesë të korruptuara. Këta komponentë hidhen në makinat e infektuara si skedarë me emra gjenerikë të ngjashëm me 'ntfsc.exe', 'Update.exe' etj. Modulet ruhen në dosjen e të dhënave të aplikacionit lokal dhe ekzekutohen si një përditësim sigurie i Windows.

Trojan ZxxZ është i pajisur me disa veçori kundër zbulimit, duke përfshirë vargjet e turbullta, aftësinë për të kërkuar dhe vrarë proceset e Windows Defender dhe zgjidhje të tjera kundër malware. Më pas, kërcënimi do të aktivizojë një funksion të mbledhjes së informacionit. Të dhënat e marra do të ruhen në një bufer memorie, përpara se të ekfiltohen në serverët Command-and-Control (C2) të operacionit. Përgjigja nga serveri C2 do të jetë një ekzekutues portativ i vendosur në vendndodhjen '%LOCALAPPDATA%\Debug\'. Në rast të një gabimi gjatë dorëzimit të këtij ekzekutuesi, ZxxZ do ta riprovojë procesin saktësisht 225 herë përpara se të ndalojë dhe të dalë.

Duhet theksuar se studiuesit gjetën dy zinxhirë infeksioni, të dy versionet fillojnë me një email phishing. Këto mesazhe joshëse fshihen pas adresave të emailit të falsifikuara për të kaluar si korrespondencë legjitime që vjen nga organizatat qeveritare pakistaneze. Sidoqoftë, bashkëngjitjet e skedarëve të armatosur mund të jenë të ndryshme. Në një rast, emailet joshëse mbanin një skedar .RTF që shfrytëzon cenueshmërinë CVE-2017-11882 për të komprometuar makinat me versione të cenueshme të Microsoft Office. Variacioni tjetër i zinxhirit të sulmit përdor në vend të tij një dokument .XLSX. Këtë herë, sulmuesit përfitojnë nga dobësitë CVE-2018-0798 dhe CVE-2018-0802 për të aktivizuar ekzekutimin e kodit në distancë në raste të vjetëruara të Microsoft Office.