Este malware fue designado por los investigadores de Symantec como Troyano Laziok y se lo detectó como un componente de ataques de tipo spear-phishing a principios de este año contra empresas relacionadas con las industrias de distribución de petróleo, gas y helio líquido, en diversos países de Oriente Medio, Estados Unidos, India y Reino Unido.
La difusión del Troyano Laziok se realiza a través de un mensaje de correo electrónico que lleva adosados documentos maliciosos que explotan una vulnerabilidad de Office cuyo parche existe desde abril de 2012. “Si el usuario abre el correo adjunto, que habitualmente utiliza un archivo Excel, se ejecuta el código de explotación que inicia la bajada del troyano dando comienzo al proceso de infección”, explicaron los investigadores de Symantec en su blog.
La componente del Troyano se emplea principalmente para determinar si un sistema comprometido merece la atención de los atacantes. Para ello, recoge información como el nombre de la computadora, tamaño de la memoria RAM y del disco duro, tipo de GPU y CPU, así como un listado completo del software instalado, incluidos los programas antivirus activos. La información recogida es remitida a los atacantes, quienes determinan si les conviene descargar malware adicional que los provea de acceso remoto a dicha máquina infectada. Para esta segunda fase de ataque, los delincuentes utilizan versiones customizadas de Backdoor.Cyberat y Trojan.Zbot.
“El grupo de atacantes que se encuentra tras Laziok no parece ser especialmente avanzado, ya que actúa explotando una antigua vulnerabilidad y, además, en sus ataques distribuyen malware que existe desde hace mucho tiempo en el mercado negro. No obstante, mucha gente no ha instalado parches para vulnerabilidades que están disponibles desde hace varios años, dejando sus sistemas abiertos a ataques de este tipo”, concluyeron los investigadores de Symantec.
Compartir nota:
