Nuovo ZxxZ Trojan utilizzato da Bitter APT

I ricercatori di sicurezza hanno monitorato una campagna dannosa in corso rivolta a entità con sede in Bangladesh. La campagna è in corso dalla seconda metà dello scorso anno e utilizza un nuovo Trojan chiamato ZxxZ.

I ricercatori stanno attribuendo la campagna dannosa all'APT di Bitter anche se in precedenza Bitter aveva preso di mira entità in Cina, Arabia Saudita e Pakistan. L'infrastruttura del server di comando e controllo mostra una sovrapposizione sufficiente per dare "moderata fiducia" che la nuova campagna sia gestita anche da Bitter.

La campagna di diffusione del trojan ZxxZ prende di mira funzionari governativi di alto rango a Balgladesh e utilizza esche legate ai compiti regolari svolti in quei dipartimenti. L'allegato dannoso nelle e-mail è un file di Office ottimizzato per avviare l'editor di equazioni e sfruttarlo per eseguire shellcode. I file dannosi abusano di tre vulnerabilità note di MS Office.

Una volta eseguito, lo shellcode preleva il payload ZxxZ da un server remoto e lo esegue. Il malware è progettato per apparire come un servizio di aggiornamento della sicurezza di Windows. ZxxZ offre ai suoi operatori capacità di esecuzione del codice in remoto, il che significa che è possibile scaricare ulteriore malware sul sistema della vittima.

Tutto ciò rende ZxxZ una seria minaccia per i sistemi che eseguono installazioni di MS Office obsolete. Il trojan può causare notevoli problemi alla vittima e aprire le vittime al furto di dati e allo spionaggio.