Casper tym razem naprawdę straszy

Choć Casper to postać znana z bajki, tym razem nie jest dobrym duszkiem. Autorzy zagrożeń Bunny i Babar, których nazwy nawiązują do postaci z kreskówek, a ich celem jest podsłuchiwanie użytkowników, uderzają ponownie. Cyberszpiedzy atakują teraz za pośrednictwem nowego zagrożenia, którego nazwa również nawiązuje do bohatera kreskówki – ducha Casper.

Po raz pierwszy zagrożenie Casper wykryto w połowie kwietnia 2014 roku, kiedy zainfekowało kilka komputerów w Syrii. Cyberprzestępcy zarazili komputery wykorzystując do tego lukę CVE-2014-0515 w aplikacji Adobe Flash. Zagrożenie niezauważenie dla swoich ofiar wydobyło i dostarczyło cyberprzestepcom szczegółowe raporty nt. zainfekowanych maszyn.

Co ciekawe, exploity były hostowane na stronie internetowej należącej do Ministerstwa Sprawiedliwości w Syrii www.jpic.gov.sy i za pomocą tego samego serwera cyberprzestępcy zarządzali tym zagrożeniem. Strona ta została stworzona przez rząd syryjski, aby umożliwić obywatelom wysyłanie próśb o zadośćuczynienie za wyrządzone szkody podczas wojny. Strona nadal działa, ale usunięto z niej zagrożenie. Kto stał za tym atakiem? Nie wiadomo, choć można przypuszczać, że ta aktywność powiązana jest z obecną sytuacją polityczną w Syrii.

Eksperci ESET, opierając się na obserwacji i analizie złośliwego oprogramowania Casper mogą potwierdzić, że kod zagrożenia jest taki sam jak w przypadku Babar i Bunny - wcześniejszych zagrożeń stworzonych przez tych samych cyberprzestępców. Tym razem poszli oni o krok dalej, uzależniając strategię działania zagrożenia Casper w zależności od programu antywirusowego zainstalowanego na komputerze docelowym. Dlatego w momencie rozpoczęcia ataku żaden program zabezpieczający nie był w stanie wykryć złośliwego programu, za wyjątkiem rozwiązań ESET. Identyfikacja zagrożenia możliwa była dzięki ESET LiveGrid, technologii chmurowej, która dzięki informacjom dostarczanym przez użytkowników produktów ESET pozwala błyskawicznie oceniać bezpieczeństwo plików.