Een Trojaans paard dat zich op de olie- en gassector richt blijkt geen computers te infecteren die in een Virtual Machine of sandbox draaien. De malware werd verspreid via de gehackte website van een technisch bedrijf. De site werd gehackt net nadat het bedrijf een financiële injectie had gekregen.
Zodra iemand de website werd bezocht werd er een informatie-lek in Internet Explorer gebruikt om te kijken wat voor beveiligingssoftware er was geïnstalleerd. Er werd specifiek naar software van Kaspersky Lab en Trend Micro gezocht, zo meldt beveiligingsbedrijf BromiumLabs. Vervolgens werden bekende lekken in IE, Java en Adobe Flash Player gebruikt om malware op opgepatchte computers te installeren. De gebruikte exploits waren afkomstig uit de populaire beveiligingstool Metasploit.
In het geval de aanval succesvol was werd er een Trojaans paard op de computer geïnstalleerd. De installatie werd echter afgebroken als de malware verschillende processen op de computer ontdekte, bijvoorbeeld van de Virtual Machinesoftware VMWare en VirtualBox of de sandboxsoftware SandboxIE. Op deze manier zou de malware proberen om automatische analysetools te omzeilen. Onlangs beweerde Symantec nog dat 20% van de malware niet op Virtual Machines werkt, hoewel andere onderzoekers stellen (PDF) dat het percentage veel hoger ligt.
Deze posting is gelocked. Reageren is niet meer mogelijk.