Novo Trojan ZxxZ usado pelo Bitter APT

Pesquisadores de segurança estão rastreando uma campanha maliciosa em andamento direcionada a entidades localizadas em Bangladesh. A campanha está em andamento desde o segundo semestre do ano passado e faz uso de um novo Trojan apelidado de ZxxZ.

Os pesquisadores estão atribuindo a campanha maliciosa ao Bitter APT, embora o Bitter já tivesse como alvo entidades na China, Arábia Saudita e Paquistão. A infraestrutura do servidor de comando e controle mostra sobreposição suficiente para dar "confiança moderada" de que a nova campanha também é executada pela Bitter.

A campanha de divulgação do trojan ZxxZ tem como alvo funcionários de alto escalão do governo em Balgladesh e usa iscas relacionadas a tarefas regulares realizadas nesses departamentos. O anexo malicioso nos e-mails é um arquivo de escritório ajustado para iniciar o editor de equações e explorá-lo para executar o shellcode. Os arquivos maliciosos abusam de três vulnerabilidades conhecidas do MS Office.

Uma vez que o shellcode é executado, ele pega a carga útil ZxxZ de um servidor remoto e a executa. O malware é adaptado para parecer um serviço de atualização de segurança do Windows. O ZxxZ oferece a seus operadores recursos de execução remota de código, o que significa que mais malware pode ser baixado no sistema da vítima.

Tudo isso torna o ZxxZ uma séria ameaça para sistemas que executam instalações desatualizadas do MS Office. O trojan pode levar a problemas consideráveis para a vítima e abrir vítimas para roubo de dados e espionagem.