О трояне Laziok стало известно год назад, когда представители компании Symantec анализировали группы кибершпионажа. Они выявили, что этот вирус используется для слежки за ближневосточными предприятиями, которые работают в сфере энергетики.
В марте 2016 года стало известно, что для инфицирования компьютеров вредоносный код использует эксплоиты браузера Internet Explorer, вредоносное ПО, которое хранится в Google Docs, а также скрипты PowerShell. Вирус применяется для сбора и кражи информации с компьютеров, которая впоследствии может быть использована для хакерских атак. Данные о новой угрозе, которой подвержены ПК, были опубликованы FireEye. Представители компании выявили ее, анализируя собираемую телеметрию. Она использует JavaScript код, который расположен на польских серверах.
Вирус попадает на компьютер следующим образом. Когда юзер с помощью браузера Internet Explorer (версий 3-11) переходит на сайт, содержащий зловредный код, начинает действовать эксплоит, который в интернет-обозревателе запускает VBScript, используя уязвимость CVE-2014-6332. После этого хакеры получают доступ к компьютерам жертвы в GodMode-режиме. После этого в действие вступают скрипты PowerShell, который с помощью ссылки на Google Docs скачивает троян Laziok на ПК.
После того как вирус инсталлируется, он собирает о компьютере сведения. Это данные о процессоре, оперативной памяти и ее размере, стране, антивирусе и имени компьютера. Полученная информация пересылается на удаленный сервер.
Интересно, но вредоносный код, который содержится в Google Docs, не удалось обнаружить при сканировании с помощью автоматических инструментов.
И снова стоит сказать, а не пора ли использовать Windows 10 с браузером Edge, чтобы защитить себя от подобных уязвимостей?