Phần mềm gián điệp nhằm vào các tệp AutoCAD

Thứ sáu - 29/06/2012 06:55

Spywaretargets AutoCAD files

26 June 2012, 11:25

Theo:http://www.h-online.com/security/news/item/Spyware-targets-AutoCAD-files-1625972.html

Bài được đưa lênInternet ngày: 26/06/2012

Lờingười dịch: Các trích dẫn: “Theo báo cáo, phần mềmđộc hại “ACAD/Medre.A”gửi đi bất kỳ tệp AutoCAD đang mở nào (.dwg) tới mộtđịa chỉ thư điện tử được đăng ký với nhàcung cấp dịch vụ 163.com của Trung Quốc trong một tệpZIP được bảo vệ bằng mật khẩu.Nếu hệ thống có MicrosoftOutlook được cài đặt, thìphần mềm gián điệp này cũng bao gồm tệp PST chươngtrình, mà có chứa tất cả các tệp được lưu trữtrong Outlook... Phần mềm giánđiệp này từng được phát triển trong ngôn ngữscripting AutoLISP tùy biến của AutoCAD và cũng sử dụngcác scripts của Visual Basic được chạy qua trình biên dịchWscript.exe được xây dựng trong Windows.Phần mềm độc hại đó được kích hoạt khi các nạnnhân mở một tệp AutoCAD được làm giả đặc biệt, vàđược cho là có khả năng lâynhiễm sang các tệp AutoCAD khác...Các bản vẽ kỹ thuật cũng từng là các mục tiêu củaphần mềm siêu gián điệp Flame”.

Hãng chống virus ESETđã phát hiện một trojan gửi các bản vẽ kỹ thuật củaAutoCAD tới một địa chỉ thư điện tử tại Trung Quốc.Cho tới nay phần mềm độc hại AutoCAD dường như kháthành công: phân tích của các nhà nghiên cứu về an ninhcác tài khoản thư điện tử được phần mềm độc hạinày sử dụng đã xác định rằng hàng chục ngàn bản vẽđã bị nhiễm. Có khả năng là trojan này đang được sửdụng cho gián điệp công nghiệp.

Theobáo cáo, phần mềm độc hại “ACAD/Medre.A”gửi đi bất kỳ tệp AutoCAD đang mở nào (.dwg) tới mộtđịa chỉ thư điện tử được đăng ký với nhà cungcấp dịch vụ 163.com của Trung Quốc trong một tệp ZIPđược bảo vệ bằng mật khẩu. Nếu hệ thống cóMicrosoft Outlook được cài đặt, thì phần mềm gián điệpnày cũng bao gồm tệp PST chương trình, mà có chứa tấtcả các tệp được lưu trữ trong Outlook.

Những kẻ tấn côngđã sử dụng toognr số 43 tài khoản thư điện tử với163.com và nhà cung cấp Trung Quốc khác, qq.com. Phần mềmgián điệp này trực tiếp kết nối với các máy chủthư ra thông qua SMTP; tất cả các thông tin đăng nhập đốivới các tài khoản này được lưu trữ trong bản thânscript đó. ESET nói rằng hãng đã phối hợp với các nhàcung cấp thư điện tử để đóng lại các tài khoản đó.

Phầnmềm gián điệp này từng được phát triển trong ngônngữ scripting AutoLISP tùy biến của AutoCAD và cũng sửdụng các scripts của Visual Basic được chạy qua trìnhbiên dịch Wscript.exe được xây dựng trong Windows. Phầnmềm độc hại đó được kích hoạt khi các nạn nhân mởmột tệp AutoCAD được làm giả đặc biệt, và đượccho là có khả năng lây nhiễm sang các tệp AutoCAD khác.

Theo ESET, tệp đó banđầu được triển khai qua một website của Peru, làm chophần mềm độc hại đó lây nhiễm hầu như tất cảPeru và các quốc gia khác trong thế giới nói tiếng TâyBan Nha. Báo cáo chứa một đường liên kết tới mộtcông cụ di dời được ACAD/Medre; ESET nói rằng phần mềmgián điệp đó đã được một số chương trình AV dòtìm ra.

Các bản vẽ kỹthuật cũng từng là các mục tiêu của phần mềm siêugián điệp Flame. Dù, không giống như các mẫu phần mềmđộc hại hiện hành, Flame từng được phát triển đặcbiệt để gián điệp các mục tiêu tại Trung Đông và đãcó vô số các mẹo mực khác bên trong, ví dụ, triểnkhai thông qua các cập nhật giả Windows.

Anti-virusfirm ESET hasdiscovereda trojan that sends AutoCAD technical drawings to an email address inChina. So far the AutoCAD spyware appears to have been quitesuccessful: the security researchers' analysis of the email accountsused by the malware determined that tens of thousands of drawings hadbeen acquired. Its likely that the trojan is being used forindustrial espionage.

Accordingto the report, the "ACAD/Medre.A"malware sends any opened AutoCAD files (.dwg) to an email addressregistered with Chinese provider 163.com in a password-protected ZIPfile. If the system has Microsoft Outlook installed, the spyware alsoincludes the program's PST file, which contains all files that arestored in Outlook.

Theattackers used a total of 43 email accounts with 163.com and anotherChinese provider, qq.com. The spyware directly communicated with theoutgoing mail servers via SMTP; all of the login credentials forthese accounts were stored in the script itself. ESET said that ithas cooperated with the email providers to close down the accounts.

Thespyware was developed in AutoCAD's custom AutoLISPscripting language and also uses Visual Basic scripts that areexecuted via the Wscript.exe interpreter built into Windows. Themalware is activated when victims open a specially crafted AutoCADfile, and is thought to be capable of infecting other AutoCAD files.

Accordingto ESET, the file was primarily deployed via a Peruvian web site,causing the malware to almost exclusively affect Peru and othercountries in the Spanish-speaking world. The report contains a linkto an ACAD/Medre.A removal tool; ESET says that the spyware isalready detected by some AV programs.

Technicaldrawings were also among the targets of the Flamesuper spyware. Unlike the current malware sample, however, Flame wasspecifically developed to spy on targets in the Middle East and hadnumerous other tricks up its sleeve, for example, deploymentvia bogus Windows up-dates.

(crve)

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com