Ny ZxxZ Trojan Brugt af Bitter APT

Sikkerhedsforskere har sporet en igangværende ondsindet kampagne rettet mod enheder i Bangladesh. Kampagnen har været i gang siden anden halvdel af sidste år og gør brug af en ny trojaner kaldet ZxxZ.

Forskere tilskriver den ondsindede kampagne til Bitter APT, selvom Bitter tidligere havde været rettet mod enheder i Kina, Saudi-Arabien og Pakistan. Kommando- og kontrolserverinfrastrukturen viser tilstrækkeligt overlap til at give "moderat tillid" til, at den nye kampagne også drives af Bitter.

Kampagnen, der spreder ZxxZ-trojaneren, er rettet mod højtstående embedsmænd i Balgladesh og bruger lokker relateret til almindelige opgaver, der udføres i disse afdelinger. Den ondsindede vedhæftede fil i e-mails er en office-fil, der er tilpasset til at starte ligningseditoren og udnytte den til at køre shellcode. De ondsindede filer misbruger tre kendte MS Office-sårbarheder.

Når shell-koden udføres, griber den ZxxZ-nyttelasten fra en ekstern server og kører den. Malwaren er skræddersyet til at fremstå som en Windows-sikkerhedsopdateringstjeneste. ZxxZ giver sine operatører mulighed for fjernudførelse af kode, hvilket betyder, at yderligere malware kan downloades på offersystemet.

Alt dette gør ZxxZ til en alvorlig trussel for systemer, der kører forældede MS Office-installationer. Trojaneren kan føre til betydelige problemer for ofret og åbne ofrene op for datatyveri og spionage.