Neuer ZxxZ-Trojaner, der von Bitter APT verwendet wird
Sicherheitsforscher haben eine laufende böswillige Kampagne verfolgt, die auf Unternehmen in Bangladesch abzielt. Die Kampagne läuft seit der zweiten Hälfte des letzten Jahres und nutzt einen neuen Trojaner namens ZxxZ.
Forscher schreiben die böswillige Kampagne Bitter APT zu, obwohl Bitter zuvor Unternehmen in China, Saudi-Arabien und Pakistan ins Visier genommen hatte. Die Command-and-Control-Serverinfrastruktur zeigt eine ausreichende Überschneidung, um „mäßiges Vertrauen“ zu geben, dass die neue Kampagne auch von Bitter durchgeführt wird.
Die Kampagne, die den Trojaner ZxxZ verbreitet, zielt auf hochrangige Regierungsbeamte in Balgladesh ab und verwendet Köder im Zusammenhang mit regulären Aufgaben, die in diesen Abteilungen ausgeführt werden. Der bösartige Anhang in den E-Mails ist eine Office-Datei, die so optimiert wurde, dass sie den Formeleditor startet und ihn zum Ausführen von Shellcode ausnutzt. Die schädlichen Dateien missbrauchen drei bekannte Sicherheitslücken von MS Office.
Sobald der Shellcode ausgeführt wird, holt er sich die ZxxZ-Nutzdaten von einem Remote-Server und führt sie aus. Die Malware ist darauf zugeschnitten, wie ein Windows-Sicherheitsaktualisierungsdienst zu erscheinen. ZxxZ bietet seinen Betreibern Remote-Code-Ausführungsfunktionen, was bedeutet, dass weitere Malware auf das System des Opfers heruntergeladen werden kann.
All dies macht ZxxZ zu einer ernsthaften Bedrohung für Systeme, auf denen veraltete MS Office-Installationen ausgeführt werden. Der Trojaner kann zu erheblichen Problemen für das Opfer führen und Opfer für Datendiebstahl und Spionage öffnen.