Nouveau cheval de Troie ZxxZ utilisé par Bitter APT

Les chercheurs en sécurité ont suivi une campagne malveillante en cours ciblant des entités situées au Bangladesh. La campagne est en cours depuis le second semestre de l'année dernière et utilise un nouveau cheval de Troie baptisé ZxxZ.

Les chercheurs attribuent la campagne malveillante à Bitter APT, même si Bitter ciblait auparavant des entités en Chine, en Arabie saoudite et au Pakistan. L'infrastructure du serveur de commande et de contrôle montre un chevauchement suffisant pour donner une "confiance modérée" que la nouvelle campagne est également gérée par Bitter.

La campagne de diffusion du cheval de Troie ZxxZ cible les hauts fonctionnaires du gouvernement de Balgladesh et utilise des leurres liés aux tâches régulières effectuées dans ces départements. La pièce jointe malveillante dans les e-mails est un fichier de bureau modifié pour lancer l'éditeur d'équations et l'exploiter pour exécuter du shellcode. Les fichiers malveillants exploitent trois vulnérabilités connues de MS Office.

Une fois que le shellcode s'exécute, il récupère la charge utile ZxxZ sur un serveur distant et l'exécute. Le logiciel malveillant est conçu pour apparaître comme un service de mise à jour de sécurité Windows. ZxxZ donne à ses opérateurs des capacités d'exécution de code à distance, ce qui signifie que d'autres logiciels malveillants peuvent être téléchargés sur le système victime.

Tout cela fait de ZxxZ une menace sérieuse pour les systèmes exécutant des installations MS Office obsolètes. Le cheval de Troie peut entraîner des problèmes considérables pour la victime et ouvrir les victimes au vol de données et à l'espionnage.