Odborníci z bezpečnostní firmy Proofpoint zveřejnili ve čtvrtek 1. srpna informace o novém špionážním malwaru LookBack. Dle jejich poznatků cílí na sektor amerických veřejných služeb a vydává se za zprávu zaslanou organizací National Council of Examiners for Engineering and Surveying (NCEES), která vyhodnocuje zkoušky používané při udělování licencí americkým inženýrům.
Experti na novou formu útoku přišli díky hlášením ze třech firem, jejichž zaměstnanci obdrželi v období od 19. do 25. července podezřelé e-mailové zprávy. Jejich obsahem bylo oznámení o neúspěchu u zkoušky, oficiální logo NCEES a dokument ve formátu MS Word, nazvaný Result Notice.doc („oznámení o výsledku“).
Vrací se éra makro virů?
Způsob, jakým malware LookBack pracuje, do značné míry připomíná éru takzvaných „makro virů“, které slavily úspěch na přelomu 20. a 21. století. Tyto viry využívaly podporu maker, obsaženou v kancelářských aplikacích MS Office. Makra jsou posloupnost akcí, funkcí nebo příkazů, které usnadňují určitou činnost.
Přiložený dokument Result Notice.doc obsahuje makra. S ohledem na výrazné zvýšení zabezpečení, ke kterému došlo mimo jiné kvůli makro virům, však předpokládáme, že uživatel k úspěšné infiltraci musí udělit souhlas s jejich spuštěním – tuto fázi však odborníci nijak nevysvětlili.
Škodlivá makra se po otevření dokumentu (a povolení jejich spuštění) pokusí nainstalovat balíček škodlivého softwaru LookBack. Ten obsahuje trojského koně pro vzdálený přístup, napsaného v jazyce C ++, a proxy server pro komunikaci s řídícím serverem. V případě zdařilé instalace dostali útočníci následující funkce a možnosti:
- získat seznam běžících procesů
- možnost ukončit jakýkoli proces
- vzdálené spouštění příkazů
- zjištění typu jednotky
- vyhledávání, čtení, zápis a mazání souborů
- výpis, spuštění a mazání služeb
- pořízení snímku s obsahem obrazovky
- ukončení a odebrání malwaru
- vypnutí nebo restart počítače
Vane vítr z Číny?
Ředitelka společnosti Proofpoint pro výzkum a detekci hrozeb Sherrod DeGrippo uvedla, že firma je schopna zablokovat všechny pokusy o phishing používané proti třem postiženým zákazníkům v této kampani. Řekla, že není jasné, zda existují i další cíle nebo jestli byl některý z nich nakažen.
Zajímavostí je, že makra nalezená v dokumentu jsou podobná makrům používaným v loňském roce při cílených útocích proti japonským podnikům. Za těmi měli dle bezpečnostních expertů stát čínští hackeři. Konkrétně makra napsaná v jazyce Visual Basic for Applications, používají podobným způsobem množství zřetězených příkazů – pravděpodobně ve snaze vyhnout se detekci škodlivých maker.
