Hrozba se omezeně šířila i v dalších zemích po celém světě. V průběhu vyšetřování, které Eset provedl, se zjistilo, že hrozba pochází z Indie, a je aktivní již nejméně dva roky.
„Tento cílený útok využíval šifrovaný podpisový certifikát vydaný zdánlivě legitimní společností k podpisu škodlivých binárních souborů, čímž se zvyšuje jejich potenciál při dalším šíření. Společnost byla založena v Novém Dillí v Indii a certifikát byl vydán v roce 2011. Malware se šíří v dokumentech posílaných jako e-mailová příloha,“ uvedl Eset v oznámení.
„Identifikovali jsme několik různých dokumentů obsahujících řadu motivů, které by mohly být lákavé pro potenciální příjemce. Jedním z nich měly být indické ozbrojené síly. Nemáme ještě úplně přesné informace, na které konkrétní osoby nebo organizace byly tyto soubory zaměřeny, na základě našeho šetření ale předpokládáme, že mělo jít o lidi a instituce v Pákistánu,“ vysvětlil ve pzrávě Jen–Ian Boutin, výzkumník společnosti Eset.
Jeden z falešných PDF souborů se šířil prostřednictvím samorozbalovacího archivu s názvem „pakistandefencetoindiantopmiltrysecereat.exe“ a jeho telemetrická data podle Esetu ukazují, že tato hackerská kampaň postihla ze 79 % právě počítače v Pákistánu.
Malware kradl citlivá data z infikovaného počítače a posílal je na servery útočníků. Pro tuto činnost používal několik různých technik určených ke krádeži dat, mezi nimi key loggery, které snímají stisky jednotlivých kláves na počítači, a snímky obrazovky pak ukládaly do počítače útočníků.
Zdroj: Eset
