Nowo odkryty malware należy do tej samej rodziny złośliwego oprogramowania PE_EXPIRO, które zostało zidentyfikowane w 2010 r. Używa jednak nowej, bardzo specyficznej metody zarażania plików i wykradania danych. Najpierw hakerzy rozpowszechniają malware standardową metodą, nakłaniając użytkowników do odwiedzenia stron WWW, na których znajdują się exploity Java i PDF. Gdy użytkownik odwiedzi taką stronę (a wtyczki wchodzące w skład używanej przez niego przeglądarki nie były od dawna aktualizowane), malware instaluje się od razu na komputerze.

Eksploity Java wykorzystują luki CVE-2012-1723 i CVE-2013-1493, które Oracle już załatał - pierwszą w czerwcu 2012 r., a drugą w marcu 2013. Jak podaje Trend Micro rekordową aktywność nowej odmiany złośliwego oprogramowania EXPIRO odnotowano 11-go lipca br. Jak twierdzi firma, to właśnie po tym ataku blisko 70% komputerów pracujących w Stanach Zjednoczonych zostało zainfekowanych tym malwarem.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• Co trzecia firma w Polsce z cyberincydentem

Gdy malware zainstaluje się, wyszukuje pliki .EXE znajdujące się na wszystkich lokalnych dyskach twardych, dyskach sieciowych oraz przenośnych systemach pamięci masowej, a następnie dodaje do nich złośliwy kod. Malware zbiera dodatkowo informacje o systemie i o użytkownikach (takie jak nazwy użytkowników i hasła używane przez system Windows) oraz wykrada poufne dane FTP (uwierzytelniające użytkowników) z popularnego klienta open source FileZilla.

Wykradzione informacje są przechowywane w pliku .DLL, który jest przekazywany zdalnym serwerom "command and control". Wykradanie poufnych danych FTP wydaje się sugerować, że hakerzy chcą albo przejąć kontrolę na upatrzonymi przez siebie witrynami, albo próbują wykradać poufne dane, które firma przechowuje na serwerach FTP.