Prosty szkodliwy program EyePiramid wykorzystany do kradzieży danych m.in. osób wysokiego szczebla


Prosty szkodliwy program EyePiramid wykorzystany do kradzieży danych m.in. osób wysokiego szczebla
2017-01-12
W ostatnich dniach pojawiła się informacja o cyberataku m.in. na osoby wysokiego szczebla we Włoszech — prezesa Europejskiego Banku Centralnego i dwóch byłych włoskich premierów.

Doszło do kradzieży osobistych informacji, a analiza przeprowadzona przez ekspertów z Kaspersky Lab wykazała, że ataki zostały przeprowadzone przez niezwykle nieostrożnych amatorów z użyciem prostego szkodliwego programu o nazwie „EyePyramid”. Aresztowano już dwóch podejrzanych.

W trakcie analizy eksperci z Kaspersky Lab zidentyfikowali 18 próbek szkodliwych programów związanych z atakami EyePyramid większość z nich powstała w okresie 2014-2015. Szkodniki posiadają funkcje kradzieży danych i wysyłania ich poprzez wiadomości e-mail oraz inne kanały. Atakujący gromadzą wiele danych z komputerów ofiar i wysyłają je na własne serwery. Samo szkodliwe oprogramowanie jest nieskomplikowane i nic nie wskazuje na to, że zostało wyposażone w wyrafinowane funkcje, które mogłyby wiązać to zagrożenie z zaawansowanym cybergangiem ProjectSauron (tego typu podejrzenia pojawiły się w niektórych przekazach medialnych). Z dużym prawdopodobieństwem można stwierdzić, że ataki EyePyramid nie są w żaden sposób powiązane z działaniami grupy ProjectSauron.

Według statystyk Kaspersky Lab szkodliwe programy EyePyramid zostały wykryte na około 16 komputerach, z których 11 znajduje się we Włoszech. Mimo że szkodliwe narzędzia wykorzystane przez dwoje ujętych podejrzanych Giulio Occhionero oraz Francescę Marię Occhionero nie należą do skomplikowanych ani trudnych do wykrycia, atakującym udało się zainfekować wiele ofiar, łącznie z osobami wysokiego szczebla, co zaowocowało kradzieżą dziesięciu gigabajtów danych.

Cyberprzestępcy nie przywiązywali dużej wagi do zacierania własnych śladów w trakcie ataków korzystali z adresów IP powiązanych z ich własną firmą, rozmawiali o ofiarach przez telefon oraz z użyciem komunikatorów internetowych, a gdy zostali przyłapani, próbowali usuwać materiał dowodowy. Świadczy to o niezwykle amatorskim podejściu atakujących, co nie zmienia faktu, że udało im się ukraść ogromną ilość informacji od swoich ofiar.

Przykład ten – podobnie jak niektóre wcześniejsze operacje cyberprzestępcze – pokazuje, że atakujący nie muszą korzystać z zaawansowanych techniczne narzędzi, by prowadzić długotrwałe i skuteczne operacje szpiegowskie. W sprawie ataków EyePyramid prawdopodobnie najbardziej zaskakujący jest fakt, że podejrzani cyberprzestępcy działali przez wiele lat, zanim zostali schwytani powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab.  

Produkty Kaspersky Lab wykrywają próbki powiązane z atakami EyePyramid pod następującymi nazwami:

·         Trojan-Downloader.MSIL.Agent.asi

·         Trojan-Downloader.MSIL.Agent.axx

·         Trojan-Dropper.Win32.Demp.fly

·         Trojan-Dropper.Win32.Injector.pxn

·         Trojan-Dropper.Win32.Injector.xcn

·         Trojan-PSW.Win32.Ruftar.bael

·         Trojan.MSIL.Agent.fdww

·         Trojan.Win32.AntiAV.choz

·         Trojan.Win32.AntiAV.ciok

·         Trojan.Win32.AntiAV.ciyk

·         Virus.Win32.PolyRansom.k

·         not-a-virus:PSWTool.Win32.NetPass.aku

Szczegółowy raport poświęcony atakom EyePyramid jest dostępny dla klientów usługi Kaspersky Intelligence Services.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła. Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/nowosci.


Redakcja Archnews informuje, że artykuły, fotografie i komentarze publikowane są przez użytkowników "Serwisów skupionych w Grupie Kafito". Publikowane materiały i wypowiedzi są ich własnością i ich prywatnymi opiniami. Redakcja Archnews nie ponosi odpowiedzialności za ich treść.

Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl