Ny ZxxZ Trojan Brukt av Bitter APT

Sikkerhetsforskere har sporet en pågående ondsinnet kampanje rettet mot enheter lokalisert i Bangladesh. Kampanjen har pågått siden andre halvdel av fjoråret og bruker en ny trojaner kalt ZxxZ.

Forskere tilskriver den ondsinnede kampanjen Bitter APT selv om Bitter tidligere hadde rettet mot enheter i Kina, Saudi-Arabia og Pakistan. Kommando- og kontrollserverinfrastrukturen viser tilstrekkelig overlapping til å gi "moderat tillit" til at den nye kampanjen også drives av Bitter.

Kampanjen som sprer ZxxZ-trojaneren er rettet mot høytstående myndighetspersoner i Balgladesh og bruker lokker relatert til vanlige oppgaver som utføres i disse avdelingene. Det ondsinnede vedlegget i e-postene er en kontorfil som er tilpasset for å starte ligningseditoren og utnytte den til å kjøre shellcode. De ondsinnede filene misbruker tre kjente MS Office-sårbarheter.

Når skallkoden kjøres, henter den ZxxZ-nyttelasten fra en ekstern server og kjører den. Skadevaren er skreddersydd for å se ut som en Windows-sikkerhetsoppdateringstjeneste. ZxxZ gir sine operatører funksjoner for ekstern kjøring av kode, noe som betyr at ytterligere skadelig programvare kan lastes ned på offersystemet.

Alt dette gjør ZxxZ til en alvorlig trussel for systemer som kjører utdaterte MS Office-installasjoner. Trojaneren kan føre til betydelige problemer for offeret og åpne ofre for datatyveri og spionasje.