Laziok ist dabei nur ein Teil einer mehrstufigen Kampagne und übernimmt die Rolle des Aufklärungswerkzeugs. Symantec hat die Angriffe eigenen Angaben zufolge im Januar und Februar beobachtet. Die Cyberkriminellen haben die Malware genutzt, um damit Zielsysteme zu infiltrierten. Anschließend entwendeten sie Daten zum System selbst und dem Netzwerk. Diese nahmen sie als Grundlage für die Vorbereitung weiterer Angriffe. Insgesamt sei es das Ziel, Betriebsgeheimnisse auszuspionieren.
Vor allem Firmen aus den Bereichen Erdöl-, Gas- und Heliumförderung gehören zu den Opfern der Angreifer. Am häufigsten betroffen sind die Länder Vereinigte Arabischen Emirate, Pakistan, Saudi-Arabien und Kuwait. Mit jeweils 5 Prozent der Infektion gehören auch die USA und Großbritannien zu den Zielen, aber bislang keine anderen europäischen Länder.
Die Angriffe gehen zunächst von der EU-Domain moneytrans[.]eu aus, ein SMTP-Server. Dieser verschickt E-Mails mit manipulierten Anhängen, die unter Windows die Schwachstelle CVE-2012-0158 in ActiveX ausnutzen. Dieser ermöglicht die Ausführung von Remote-Code. Zumeist tarnt sich der Downloader als Excel-Datei.
Ist der Trojaner erst einmal installiert, versteckt er sich in den Verzeichnissen %SystemDrive%\Documents und Settings\All Users\Application Data\System\Oracle. Seinen Dateien gibt er dann legitim wirkende Namen wie search.exe und chrome.exe.
Im Anschluss sammelt der Trojaner Systemdaten wie Computernamen, installierte Software, RAM-Größe, CPU und installierte Antiviren-Anwendung. Diese übermittelt er an die Angreifer, die nun reagieren und zusätzlichen Schadcode aufspielen können, je nachdem, ob sie Schaden anrichten oder Daten stehlen wollen.
Vor allem Firmen aus den Bereichen Erdöl-, Gas- und Heliumförderung gehören zu den Opfern der Angreifer. Am häufigsten betroffen sind die Länder Vereinigte Arabischen Emirate, Pakistan, Saudi-Arabien und Kuwait. Mit jeweils 5 Prozent der Infektion gehören auch die USA und Großbritannien zu den Zielen, aber bislang keine anderen europäischen Länder.
Die Angriffe gehen zunächst von der EU-Domain moneytrans[.]eu aus, ein SMTP-Server. Dieser verschickt E-Mails mit manipulierten Anhängen, die unter Windows die Schwachstelle CVE-2012-0158 in ActiveX ausnutzen. Dieser ermöglicht die Ausführung von Remote-Code. Zumeist tarnt sich der Downloader als Excel-Datei.
Ist der Trojaner erst einmal installiert, versteckt er sich in den Verzeichnissen %SystemDrive%\Documents und Settings\All Users\Application Data\System\Oracle. Seinen Dateien gibt er dann legitim wirkende Namen wie search.exe und chrome.exe.
Im Anschluss sammelt der Trojaner Systemdaten wie Computernamen, installierte Software, RAM-Größe, CPU und installierte Antiviren-Anwendung. Diese übermittelt er an die Angreifer, die nun reagieren und zusätzlichen Schadcode aufspielen können, je nachdem, ob sie Schaden anrichten oder Daten stehlen wollen.
