Nuevo troyano ZxxZ utilizado por Bitter APT

Los investigadores de seguridad han estado rastreando una campaña maliciosa en curso dirigida a entidades ubicadas en Bangladesh. La campaña ha estado en curso desde la segunda mitad del año pasado y utiliza un nuevo troyano llamado ZxxZ.

Los investigadores atribuyen la campaña maliciosa a Bitter APT a pesar de que Bitter había estado apuntando previamente a entidades en China, Arabia Saudita y Pakistán. La infraestructura del servidor de comando y control muestra una superposición suficiente para dar una "confianza moderada" de que la nueva campaña también está a cargo de Bitter.

La campaña que difunde el troyano ZxxZ está dirigida a funcionarios gubernamentales de alto rango en Balgladesh y utiliza señuelos relacionados con las tareas habituales que se llevan a cabo en esos departamentos. El archivo adjunto malicioso en los correos electrónicos es un archivo de oficina modificado para iniciar el editor de ecuaciones y explotarlo para ejecutar shellcode. Los archivos maliciosos abusan de tres vulnerabilidades conocidas de MS Office.

Una vez que se ejecuta el shellcode, toma la carga útil de ZxxZ de un servidor remoto y la ejecuta. El malware está diseñado para parecerse a un servicio de actualización de seguridad de Windows. ZxxZ brinda a sus operadores capacidades de ejecución remota de código, lo que significa que se puede descargar más malware en el sistema de la víctima.

Todo esto convierte a ZxxZ en una seria amenaza para los sistemas que ejecutan instalaciones obsoletas de MS Office. El troyano puede ocasionar problemas considerables a la víctima y exponerla al robo de datos y al espionaje.