ZeroCleare je novi iranski destruktivni malver koji briše sve sa računara

Opisi virusa, 10.12.2019, 03:30 AM

ZeroCleare je novi iranski destruktivni malver koji briše sve sa računara

Istraživači IBM-a otkrili su novi, do sada nepoznati destruktivni malver za brisanje podataka koji hakeri koji rade za Iran koriste za napade na kompanije na Bliskom istoku.

Malver pod nazivom “ZeroCleare”, povezan je ne sa jednom, već sa dve iranske hakerske grupe koje sponzoriše iranska država - APT34, takođe poznatom po nazivima ITG13 i Oilrig, i Hive0081, koja je poznata i pod imenom xHunt.

Istraživači koji su otkrili ZeroCleare kažu da novi malver ima neke sličnosti sa zloglasnim malverom Shamoon, jednim od najrazornijih malvera poznatom po šteti koju je napravio na 30000 računara najvećeg proizvođača nafte u Saudijskoj Arabiji 2012. godine.

Poput malvera Shamoon, i ZeroCleare koristi legalni drajver za hard disk koji se zove „RawDisk by ElDos“ kako bi prepisao MBR (Master Boot Record) i particije diska napadnutih računara sa operativnim sistemom Windows.

Iako EldoS drajver nije potpisan, malver i dalje uspeva da ga pokrene učitavanjem ranjivog, ali potpisanog Oracleovog VirtualBox drajvera, iskorišćavajući ga da zaobiđe mehanizam za proveru potpisa i učita nepotpisani EldoS drajver.

Da bi inficirali što veći broj računara malverom ZeroCleare, napadači najpre pokušavaju brute force napad da bi došli do lozinki za naloge na mreži i zatim instalirali alate China Chopper i Tunna, iskorišćavanjem ranjivosti SharePointa.

Isti napadači takođe su pokušali da instaliraju legitimni softver za daljinski pristup koji se zove TeamViewer i koristili su alat Mimikatz za krađu lozinki kompromitovanih servera.

Iako istraživači nisu otkrili imena kompanija koje su napadnute ovim malverom, oni su potvrdili da postoje dve verzije ZeroClearea, po jedna za svaku Windows arhitekturu (32-bitnu i 64-bitnu), ali samo ova druga zaista i radi.

Prema rečima istraživača, napadači koji koriste ZeroCleare, napade izvode protiv određenih sektora i kompanija.

“Ovo nije prvi put da je Bliski istok meta destruktivnih napada koji ciljaju njegov energetski sektor”, kažu istraživači.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

GravityRAT, malver koji je poznat po tome što proverava temperaturu procesora na Windows računarima da bi otkrio virtuelne mašine ili sandbox, sada... Dalje

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm (InterPlanetary Storm) koji je prvi put primećen u maju prošle godine u napadima na Windows sisteme, evoluirao je i sada inficira i d... Dalje

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Ozloglašeni bankarski trojanac koji je krao lozinke za bankovne račune i druge finansijske informacije, sada se vratio sa novim trikovima u rukavu s... Dalje

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Ransomware NetWalker pojavio se pre oko godinu dana, ali je tek ove godine postao ozbiljno ime u svetu sajber-kriminala, s obzirom da je od iznude "za... Dalje

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje