מחלקות פיננסיות של עסקים בבלקן תחת מתקפת קמפיין זדוני

הפצת קוד זדוני

חוקרי ESET חשפו קמפיין שמשתמש בשני כלים דומים – דלת אחורית ושליטה מרחוק במטרה להשיג רווחים כספיים

החוקרים גילו קמפיין זדוני שמתרחש בארבע מדינות מחבל הבלקן: סרביה, קרואטיה, מונטנגרו ובוסניה והרצגובינה.

הקורבנות במסגרת מתקפה זו הינן מחלקות פיננסיות בעסקים.

כמנגנון ההתפשטות, התוקפים משתמשים במיילים זדוניים עם קישורים אשר מובילים לקובץ זדוני.

התוכן במיילים ברובו עוסק במיסים, ככל הנראה כי המתקפה מיועדת לרואי חשבון באזור.

חוקרי ESET מאמינים כי זהו קמפיין אשר המניע שלו הוא כלכלי.

הפצת קוד זדוני

 

שני כלים זדוניים מסייעים לקמפיין: הראשון הינו דלת אחורית והשני הוא טרויאני עם גישה מרחוק וESET מכנה אותם BalkanDoor ו-BalkanRAT.

הקורבן למעשה ימצא את עצמו עם שני כלים אלו פועלים על המחשב כאשר כל אחד מהם מסוגל לשלוט על המכונה המושפעת.

השימוש בשני כלים הנו נדיר למדי ומאפשר לתוקפים לבחור בשיטה המתאימה ביותר לשליטה במחשבים המושפעים. BalkanRAT

מאפשר לתוקפים לשלוט מרחוק בצורה ידנית על המחשב המותקף באמצעות ממשק גרפי.

BalkanDoor מאפשר להם לשלוט מרחוק באמצעות שורת פקודה.

חקר שני הכלים הזדוניים העלה מספר מאפיינים בולטים: BalkanDoor מסוגלת לפתוח נעילת מסך ללא ססמה,

אפשרות שימושית לתוקפים במקרים בהם משתמש נעל את המחשב שלו. הדגימות האחרונות מראות כי BalkanDoor מנצלת פגיעות של WinRAR ACE המאפשרת לפעול גם מבלי שהמשתמש יפעיל קובץ בעצמו.

BalkanRAT לעומת זאת, עושה שימוש לרעה בתוכנת מחשב מסחרית לגיטימית שיכולה לעקוב אחר פעילות המשתמש ובאופן ידני לשלוח במחשב.

בנוסף, הכלי משתמש בכלים וסקריפטים נוספים כדי להסתיר את נוכחותו מהקורבן כגון הסתרת החלון, אייקון והתהליכים שלו

דילוג לתוכן