Malware mířící na AutoCAD dláždí cestu budoucím útokům

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: ScheRas
Datum: 26.11.2013
Hodnocení/Hlasovalo: 0/0

Bezpečnostní výzkumníci z Trend Micro objevili nový a vzácný druh malwaru, který se tváří jako legitimní AutoCAD komponenta s příponou .fas, ale ve skutečnosti vytváří v systému díry, které jsou následně využívány k další infiltraci systému.

Malware byl označen jako ACM_SHENZ.A. Po otevření souboru je Trojanem vytvořen uživatelský účet s administrátorskými právy (většinou se nový účet jmenuje servicer), poté se pokusí zápisem do registrů vyřadit firewall, následně vytvoří ze všech diskových jednotek disky sdílené a nakonec otevře porty 137-139 (NetBIOS porty) a 445 (SMB). Útočník pak může zneužít známých chyb v SMB protokolu a tím mu odpadá nutnost crackování hesel, jelikož bude mít na postíženém systému rovnou administrátorská práva.


Ukázka zdrojového kódu malwaru

Trojan se na systém oběti dostavá buď stažením z nezabezpečených webů, nebo je do systému vložen jiným škodlivým kódem. Malware se zaměřuje zejména na firemní počítače, jelikož doma provozuje AutoCAD jen malý počet uživatelů. Za relativní úspěch může zřejmě to, že uživatelé nečekají, že by mohl být soubor s touto příponou vůbec škodlivý.

Historicky je malware mířící na AutoCAD velmi vzácný. V poslední době ovšem začíná být mezi útočníky stále více oblíbený, připomeňme si například trojan Medre, který byl odhalen v červnu tohoto roku.