Al twee jaar wordt er een bot gebruikt om bedrijven en organisaties te bespioneren, maar de malware laat nauwelijks sporen achter en kan computers onbruikbaar maken. Daarvoor waarschuwt het Amerikaanse beveiligingsbedrijf FireEye, dat de malware Latentbot noemt.
Volgens het beveiligingsbedrijf wordt Latentbot al sinds halverwege 2013 ingezet, maar is het erin geslaagd om nauwelijks sporen op internet en besmette systemen achter te laten. De malware wordt verspreid via Word-documenten die van oude kwetsbaarheden in het Office-programma gebruikmaken. In het geval bedrijven hun Word-versie niet hebben gepatcht, kan het openen van het document ervoor zorgen dat er automatisch een downloader op de computer wordt geplaatst, die vervolgens een remote access Trojan (RAT) en Latentbot downloadt.
Latentbot verstopt zich korte tijd in het werkgeheugen van de computer, om zo niet te worden gedetecteerd. Hiervoor verbergt Latentbot zich in de processen van geopende applicaties of het Windowsregister. In het geval de malware een laptop heeft besmet, wordt de batterijstatus gecontroleerd. Als die bijna leeg is, voorkomt Latentbot dat het systeem in de slaapstand gaat of het scherm uitschakelt. Naast het stelen van gegevens kan Latentbot ook toetsaanslagen opslaan, een verborgen VNC Remote Desktop draaien, de desktop manipuleren en muisklikken onderscheppen.
Een andere eigenschap van de malware is de mogelijkheid om de Master Boot Record (MBR) van de harde schijf te wissen. De MBR bevat de opstartinformatie van het systeem. In het geval die wordt gewist zal het besturingssysteem niet meer kunnen worden gestart, wat de computer op dat moment onbruikbaar maakt. Om deze actie uit te voeren kunnen de aanvallers achter Latenbot via de verborgen VNC Remote Desktop de opdracht 'killosanduninstalls' uitvoeren.
Naast het wissen van de MBR zal de malware vervolgens ook alle sporen van zichzelf in het Windowsregister en het bestandssysteem verwijderen. Ondanks de technische eigenschappen van Latentbot om niet te worden gedetecteerd, kan het monitoren van het uitgaande verkeer van systemen helpen om de malware te vinden, zo stelt het beveiligingsbedrijf.
Deze posting is gelocked. Reageren is niet meer mogelijk.