Bollywood-spyware verstopt zich in Windows Opstarten

In India ontwikkelde spionagesoftware is zeker twee jaar lang gebruikt om organisaties en individuen in Pakistan te bespioneren, zo beweert het Slowaakse anti-virusbedrijf ESET. Het onderzoek naar de spionagecampagne begon met een malware-exemplaar dat met een geldig certificaat van een Indiaas bedrijf was gesigneerd. Verder onderzoek leidde naar 70 exemplaren met het certificaat.

Het signeren van bestanden heeft grote voordelen voor malware-makers, aangezien die eerder worden vertrouwd door zowel virusscanners als het besturingssysteem. De eerste gesigneerde exemplaren dateren van eind 2011, maar gedurende het onderzoek werden ook ongesigneerde exemplaren ontdekt die al sinds begin 2011 actief waren.

Datadiefstal

De malware doet zich voor als PDF of Word-bestand, terwijl het in werkelijkheid een uitvoerbaar bestand betreft. Zo ging er een exemplaar rond genaamd pakistandefencetoindiantopmiltrysecreat.exe dat slachtoffers een PDF-bestand liet zien en ondertussen de malware installeerde. Daarnaast verspreidde malware zich ook via een bekend lek in Microsoft Office, dat Microsoft in april 2012 patchte.

Eenmaal actief zoekt de spyware naar CSV, PDF, DOC, DOCX, XLS, XLSX en andere documenten in de Mijn Documenten map en prullenbak. Ook worden toetsaanslagen opgeslagen en screenshots van de desktop gemaakt. Verder worden er twee publieke tools gebruikt voor het achterhalen van wachtwoorden in e-mailclients en browsers en infecteert de spyware USB-sticks.

Opvallend

Het eerste opmerkelijke aan de spyware is dat alle informatie die naar de servers van de aanvallers wordt gestuurd onversleuteld is, dit tot grote verbazing van ESET. Hierdoor is het veel eenvoudiger om een besmette machine te vinden door het netwerkverkeer te analyseren. Verder valt de malware ook op omdat die zich in de Opstarten Map van Windows plaatst.

India

Wat betreft het aanwijzen van India als herkomst van de spyware vond ESET naast de gesigneerde certificaten nog meer aanwijzingen. Zo was de malware tussen 10:36 en 19:15 Indiase tijd gesigneerd en werd er in de malware een string ontdekt genaamd ‘ramukaka’, een Bollywood-achtige huisbediende.

“Gegeven dat deze variabele wordt gebruikt om de malware permanent op het systeem aanwezig te laten zijn, is het een goede woordkeuze”, aldus analist Jean-Ian Boutin.

Hij merkt nogmaals op dat gerichte aanvallen vaak genoeg voorkomen, maar dat deze opvalt door het niet gebruiken van geavanceerde tools om verborgen te blijven.

Bron: Security