Κατά τη διάρκεια του Μαρτίου 2016 μια ομάδα-απειλή χρησιμοποιεί έναν συνδυασμό από exploits στον Internet Explorer, το χωρίς όρια scripting του Windows PowerShell και τα malware που είναι αποθηκευμένα στο Google Docs για να μολύνει στόχους με το Laziok trojan.
Το Laziok trojan εμφανίστηκε στη malware σκηνή τον Μάρτιο του 2015, όταν η Symantec παρατήρησε ομάδες κυβερνο-κατασκοπείας να το χρησιμοποιούν για να κατασκοπεύουν εταιρείες στον τομέα της ενέργειας σε χώρες της Μέσης Ανατολής.
Το Laziok είναι ένα απλό infostealer, χρησιμοποιείται τακτικά σε εξερευνητικές αποστολές όταν εκβιαστικές ομάδες συνέλεγαν πληροφορίες σχετικά με τον στόχο τους για να τις χρησιμοποιήσουν σε επιθέσεις σε μεταγενέστερο στάδιο.
Οι malware αναλυτές από την εταιρεία ασφαλείας FireEye έπεσαν επάνω σε αυτήν την απειλή, ενώ εξέταζαν λεπτομερώς δεδομένα τηλεμετρίας και λένε ότι σε αυτή τη συγκεκριμένη εκστρατεία διανομής, οι απατεώνες χρησιμοποιούσαν κακόβουλο Javascript που φιλοξενούνταν σε έναν πολωνικό διακομιστή.
Όταν ένα θύμα χρησιμοποιούσε τον Internet Explorer θα παρασυρόταν για να επισκεφθεί σε μια σελίδα που φιλοξενούσε τον κακόβουλο κώδικα, ένα exploit θα εκτελούνται, χρησιμοποιώντας την CVE-2014-6332 ευπάθεια και εκτελώντας το VBScript μέσω του Internet Explorer.
Όλες οι εκδόσεις IE 3 έως 11 είναι ευάλωτες και οι απατεώνες θα εισήγαγαν ένα λεγόμενο GodMode στον υπολογιστή του χρήστη. Από εκεί, οι απατεώνες θα χρησιμοποιούσαν τα Windows PowerShell scripts για να κατεβάσουν το εκτελέσιμο Laziοk από ένα URL στο Google Docs.
Το Laziok έχει εγκατασταθεί και το trojan ξεκινά αμέσως τη συλλογή πληροφοριών σχετικά με τους στόχους του. Το infostealer θα συλλέγει πληροφορίες για το όνομα του υπολογιστή, τα στοιχεία της CPU, το μέγεθος της μνήμης RAM, την τοποθεσία (χώρα) και αν ο χρήστης έχει εγκαταστήσει οποιοδήποτε λογισμικό προστασίας από ιούς.
Τα στοιχεία, στη συνέχεια, θα αποστέλλονταν στους διακομιστές των απατεώνων, όπου πιθανότατα θα χρησιμοποιούνταν και σε άλλες επιθέσεις, εάν δεν είχε ήδη συμβεί.
Οι ερευνητές ασφαλείας βρήκαν εξαιρετικά περίεργο το γεγονός ότι οι απατεώνες κατάφεραν να φιλοξενήσουν το Laziok στους διακομιστές της Google. Το Google είναι γνωστό για την εκτέλεση αυτοματοποιημένων ελέγχων για ιούς σε όλα τα αρχεία που φιλοξενούνται σε διακομιστές του.
