Zestawienie tygodniowe 5 – 12 lipca

Opis działania malware ZLoader

Rodzina złośliwego oprogramowania ZLoader przeszła na nowy mechanizm w ostatnich kampaniach spamowych, pobierając złośliwy kod dopiero po otwarciu początkowego załącznika, donosi McAfee.

Aktywny od ponad pół dekady ZLoader jest następcą trojana Zeus, a także jest określany jako Silent Night i ZBot. W zeszłym roku zagrożenie zaczęło być oferowane w modelu złośliwego oprogramowania jako usługi (MaaS).

ZLoader jest dystrybuowany za pośrednictwem wiadomości spamowych zawierających różnego rodzaju załączniki, przy czym najnowsze zawierają dokumenty Microsoft Word. Dokument używany jako przynęta ma na celu nakłonienie ofiary do włączenia makr, które są domyślnie wyłączone w pakiecie Microsoft Office.

Aby uniknąć wykrycia, makra w załącznikach nie zawierają złośliwego kodu, ale zamiast tego pobierają go ze zdalnej lokalizacji po otwarciu dokumentu.

W ramach ostatnich ataków analizowanych przez McAfee załączony dokument pobiera chroniony hasłem plik Microsoft Excel (XLS) ze zdalnego serwera.

„Po pobraniu pliku XLS Word VBA odczytuje zawartość komórki z XLS i tworzy nowe makro dla tego samego pliku XLS i zapisuje zawartość komórki w makrach XLS VBA jako funkcje” – wyjaśnił McAfee.

Zaraz po napisaniu makr dokument Word modyfikuje rejestr, aby złośliwe makra mogły być wykonywane bez ostrzeżenia użytkownika, a następnie wywołuje funkcję makra z pliku Excel.

Następnie makra są wykorzystywane do pobierania i wdrażania ładunku ZLoader na zaatakowanej maszynie. rundll32.exe jest następnie używany do uruchomienia ładunku.

Atak na kolejowy system transportu w Iranie

Witryny irańskiego ministerstwa transportu i urbanizacji w sobotę przestały działać po „cyberzakłóceniu”, podała oficjalna agencja informacyjna IRNA. Dziennikarza poprzestali na lakonicznym stwierdzeniu, że sprawa jest badana. To druga anomalia w systemach komputerowych związana z resortem.

W piątek irański system kolejowy został zaatakowany. Hakerzy zamieszczali fałszywe wiadomości o rzekomych opóźnieniach pociągów na tablicach informacyjnych na stacjach w całym kraju. Problem pojawił się po tym, jak zawiódł elektroniczny system śledzenia w składach kolejowych w całym Iranie.

Również w sobotę minister telekomunikacji Mohammad Javad Azari Jahromi ostrzegł przed możliwymi cyberatakami przez oprogramowanie ransomware. W 2018 r. Iran zgłosił podobne ataki.

W grudniu tego roku ministerstwo telekomunikacji Iranu poinformowało, że kraj rozbroił masowy cyberatak na nieokreśloną „infrastrukturę elektroniczną”, ale nie podał żadnych szczegółów na temat rzekomego ataku.

Jak dotąd żadna grupa nie wzięła na siebie odpowiedzialności za te incydenty.