Wykryta operacja wskazuje na to, że cyberugrupowania przestępcze w regionach rozwijających się przeprowadzają kampanie na swoje cele przy użyciu stosunkowo prostego szkodliwego oprogramowania „własnej produkcji” w połączeniu z publicznie dostępnymi narzędziami. W omawianym przypadku atakujący wykorzystali zmodyfikowaną wersję backdoora Remexi – narzędzia umożliwiającego zdalne zarządzanie maszynami ofiar.

Szkodliwe oprogramowanie Remexi zostało po raz pierwszy wykryte w 2015 r., gdy cyberszpiegowskie ugrupowanie o nazwie Chafer wykorzystywało je w operacji inwigilacji, której celem były osoby prywatne, jak również liczne organizacje na Bliskim Wschodzie. Podobieństwa w kodzie pomiędzy wykorzystanym w nowej kampanii backdoorem a znanymi próbkami Remexi, a także profil atakowanych ofiar, pozwalają badaczom z Kaspersky Lab podejrzewać, że za nową kampanią stoi właśnie to ugrupowanie.

Nowo wykryta wersja szkodnika Remexi potrafi między innymi zdalnie wykonywać polecenia oraz przechwytywać zrzuty ekranu, dane przeglądarki, w tym dane uwierzytelniające użytkowników, dane oraz historię logowania, jak również wszelkie znaki wprowadzane z klawiatury zainfekowanego komputera. Skradzione dane są wyprowadzane przy użyciu legalnej usługi Microsoft Background Intelligent Transfer Service (BITS) – komponentu systemu Windows umożliwiającego instalowanie aktualizacji w tle. Obserwowany trend łączenia szkodliwego oprogramowania z przywłaszczonym lub legalnym kodem pomaga atakującym zarówno zaoszczędzić czas i zasoby podczas tworzenia szkodliwego oprogramowania, jak i utrudnić przypisanie autorstwa.

Źródło: Kaspersky Lab