Εξελιγμένη έκδοση του NetTraveler malware

Σύμφωνα με το secenews το κακόβουλο λογισμικό, γνωστό και ως "Travnet" ή"Netfile," είναι ενεργό εδώ και δέκα τουλάχιστον χρόνια, καθώς οι πρώτες ενδείξεις που φανερώνουν τη δραστηριότητα του χρονολογούνται από το 2004.

Οι ερευνητές έχουν παρατηρήσει ότι πρωταρχικοί στόχοι τoυ malware είναι Ουιγούροι και Θιβετιανοί ακτιβιστές, ενώ το προφίλ του θύματος δεν έχει αλλάξει στην πρόσφατη εκστρατεία.

Αναλύοντας ένα email με δείγμα του NetTraveler, οι ερευνητές της Kaspersky, Costin Raiu και Kurt Baumgartner, διαπίστωσαν ότι οι υπολογιστές των στόχων μολύνονται μέσω ενός κακόβουλου αρχείου DOC. Το έγγραφο περιέχει ένα exploit για ευπάθεια του Microsoft Word, με το αναγνωριστικό CVE-2012-0158.

Η συγκεκριμένη ευπάθεια είχε αναφερθεί τον Οκτώβριο του 2012 και έκτοτε έχει επιδιορθωθεί, όμως υπάρχουν πολλά συστήματα με μια παλαιότερη έκδοση του Word που είναι ευάλωτα στο ελάττωμα αυτό.

Το ΝetTraveler έχει χρησιμοποιηθεί σε πολλές καμπάνιες κατασκοπείας του κυβερνοχώρου, όπως στην εκστρατεία Red October.

"Εδώ και 10 χρόνια το NetTraveler στοχεύει διάφορους τομείς, με έμφαση στους διπλωματικούς, κυβερνητικούς και στρατιωτικούς στόχους", αναφέρει η Kaspersky. Το 32% από το τα θύματα ανήκουν στο διπλωματικό τομέα, ενώ το 19% από αυτά συνδέονται με την κυβέρνηση.

Τέλος, οι ερευνητές παρατήρησαν ότι οι συγγραφείς του malware έχουν χρησιμοποιήσει ισχυρότερη κρυπτογράφηση σε σχέση με παλαιότερες παραλλαγές του κακόβουλου λογισμικού, όχι όμως αρκετά πολύπλοκη, ώστε να μην μπορεί να παρακαμφθεί.