Phần mềm gián điệp nhằm vào các tệp AutoCAD

Spyware targets AutoCAD files

26 June 2012, 11:25

Theo: http://www.h-online.com/security/news/item/Spyware-targets-AutoCAD-files-1625972.html

Bài được đưa lên Internet ngày: 26/06/2012

Lời người dịch: Các trích dẫn: “Theo báo cáo, phần mềm độc hại “ACAD/Medre.A” gửi đi bất kỳ tệp AutoCAD đang mở nào (.dwg) tới một địa chỉ thư điện tử được đăng ký với nhà cung cấp dịch vụ 163.com của Trung Quốc trong một tệp ZIP được bảo vệ bằng mật khẩu. Nếu hệ thống có Microsoft Outlook được cài đặt, thì phần mềm gián điệp này cũng bao gồm tệp PST chương trình, mà có chứa tất cả các tệp được lưu trữ trong Outlook... Phần mềm gián điệp này từng được phát triển trong ngôn ngữ scripting AutoLISP tùy biến của AutoCAD và cũng sử dụng các scripts của Visual Basic được chạy qua trình biên dịch Wscript.exe được xây dựng trong Windows. Phần mềm độc hại đó được kích hoạt khi các nạn nhân mở một tệp AutoCAD được làm giả đặc biệt, và được cho là có khả năng lây nhiễm sang các tệp AutoCAD khác... Các bản vẽ kỹ thuật cũng từng là các mục tiêu của phần mềm siêu gián điệp Flame”.

Hãng chống virus ESET đã phát hiện một trojan gửi các bản vẽ kỹ thuật của AutoCAD tới một địa chỉ thư điện tử tại Trung Quốc. Cho tới nay phần mềm độc hại AutoCAD dường như khá thành công: phân tích của các nhà nghiên cứu về an ninh các tài khoản thư điện tử được phần mềm độc hại này sử dụng đã xác định rằng hàng chục ngàn bản vẽ đã bị nhiễm. Có khả năng là trojan này đang được sử dụng cho gián điệp công nghiệp.

Theo báo cáo, phần mềm độc hại “ACAD/Medre.A” gửi đi bất kỳ tệp AutoCAD đang mở nào (.dwg) tới một địa chỉ thư điện tử được đăng ký với nhà cung cấp dịch vụ 163.com của Trung Quốc trong một tệp ZIP được bảo vệ bằng mật khẩu. Nếu hệ thống có Microsoft Outlook được cài đặt, thì phần mềm gián điệp này cũng bao gồm tệp PST chương trình, mà có chứa tất cả các tệp được lưu trữ trong Outlook.

Những kẻ tấn công đã sử dụng toognr số 43 tài khoản thư điện tử với 163.com và nhà cung cấp Trung Quốc khác, qq.com. Phần mềm gián điệp này trực tiếp kết nối với các máy chủ thư ra thông qua SMTP; tất cả các thông tin đăng nhập đối với các tài khoản này được lưu trữ trong bản thân script đó. ESET nói rằng hãng đã phối hợp với các nhà cung cấp thư điện tử để đóng lại các tài khoản đó.

Phần mềm gián điệp này từng được phát triển trong ngôn ngữ scripting AutoLISP tùy biến của AutoCAD và cũng sử dụng các scripts của Visual Basic được chạy qua trình biên dịch Wscript.exe được xây dựng trong Windows. Phần mềm độc hại đó được kích hoạt khi các nạn nhân mở một tệp AutoCAD được làm giả đặc biệt, và được cho là có khả năng lây nhiễm sang các tệp AutoCAD khác.

Theo ESET, tệp đó ban đầu được triển khai qua một website của Peru, làm cho phần mềm độc hại đó lây nhiễm hầu như tất cả Peru và các quốc gia khác trong thế giới nói tiếng Tây Ban Nha. Báo cáo chứa một đường liên kết tới một công cụ di dời được ACAD/Medre; ESET nói rằng phần mềm gián điệp đó đã được một số chương trình AV dò tìm ra.

Các bản vẽ kỹ thuật cũng từng là các mục tiêu của phần mềm siêu gián điệp Flame. Dù, không giống như các mẫu phần mềm độc hại hiện hành, Flame từng được phát triển đặc biệt để gián điệp các mục tiêu tại Trung Đông và đã có vô số các mẹo mực khác bên trong, ví dụ, triển khai thông qua các cập nhật giả Windows.

Anti-virus firm ESET has discovered a trojan that sends AutoCAD technical drawings to an email address in China. So far the AutoCAD spyware appears to have been quite successful: the security researchers' analysis of the email accounts used by the malware determined that tens of thousands of drawings had been acquired. Its likely that the trojan is being used for industrial espionage.

According to the report, the "ACAD/Medre.A" malware sends any opened AutoCAD files (.dwg) to an email address registered with Chinese provider 163.com in a password-protected ZIP file. If the system has Microsoft Outlook installed, the spyware also includes the program's PST file, which contains all files that are stored in Outlook.

The attackers used a total of 43 email accounts with 163.com and another Chinese provider, qq.com. The spyware directly communicated with the outgoing mail servers via SMTP; all of the login credentials for these accounts were stored in the script itself. ESET said that it has cooperated with the email providers to close down the accounts.

The spyware was developed in AutoCAD's custom AutoLISP scripting language and also uses Visual Basic scripts that are executed via the Wscript.exe interpreter built into Windows. The malware is activated when victims open a specially crafted AutoCAD file, and is thought to be capable of infecting other AutoCAD files.

According to ESET, the file was primarily deployed via a Peruvian web site, causing the malware to almost exclusively affect Peru and other countries in the Spanish-speaking world. The report contains a link to an ACAD/Medre.A removal tool; ESET says that the spyware is already detected by some AV programs.

Technical drawings were also among the targets of the Flame super spyware. Unlike the current malware sample, however, Flame was specifically developed to spy on targets in the Middle East and had numerous other tricks up its sleeve, for example, deployment via bogus Windows updates.

(crve)

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com