Istraživači kompanije ESET su razotkrili postojanje dva maliciozna alata koji se šire na Balkanu i koji imaju sličan cilj, a to je pristup računarima kompanija. "Trojance" su nazvali BalkanDoor i BalkanRAT.

BalkanRAT omogućava napadaču daljinsko upravljanje kompromitiranim računarom putem grafičkog interfejsa, a BalkanDoor im omogućuje daljinsko upravljanje kompromitiranim računarom putem komandne linije. ESET sigurnosni proizvodi otkrivaju ove prijetnje kao Win {32,64}/BalkanRAT i Win32/BalkanDoor. Žrtva ove kampanje, koja koristi maliciozne e-mailove kao mehanizam njihovog širenja, "zaradi" oba alata raspoređena na svom računaru, a svaki od njih može u potpunosti kontrolirati mašinu. To omogućava napadačima da odaberu najprikladniji način za manipuliranje računarom.

Najvažnija tema kampanje su porezi. Mamcima, odnosno e-mailovima koji sadrže veze i PDF dokumente vezane za poreze, napadači "ciljaju" finansijska odjeljenja organizacija na Balkanu. Iako se alati za pristup uglavnom koriste za špijunažu, istraživači ESET-a vjeruju da je ova kampanja motivirana finansijskim profitom. Napadi se provode od januara 2016. godine do danas, a zabilježeni su u Hrvatskoj, Srbiji, Crnoj Gori i BiH. 



Napadači maliciozne alate distribuiraju e-mailovima koji vode do kontaminiranih fajlova, a linkovi preko kojih se distribuiraju BalkanRAT i BalkanDoor oponašaju legitimne web stranice zvaničnih institucija.

Jedna od zloupotrijebljenih domena je, tvrde istraživači ESET-a, ona koja pripada Poreznoj upravi FBiH, a među PDF dokumentima koji su poslužili kao mamci su porezni obrazac, porezni zakon te uputstvo za korištenje aplikacije za prijavu poreza.

Napadači su uglavnom koristili oba alata raspoređena na računaru. Njihova kombinacija im omogućava upravljanje interfejsom komandne linije i grafičkim interfejsom. Ovi alati mogu koristiti za špijuniranje, ali analiza ESET-a pokazuje da su napadači zapravo tražili novac.

BalkanRAT i BalkanDoor nude nekoliko zanimljivih trikova i svaki od njih zasebno predstavlja značajan rizik za žrtve. Ako se zajedno koriste kao skup alata, oni čine još moćnije oružje, koje je uglavnom usmjeravano na računovodstva.

Kampanja usmjerena na računovođe na Balkanu pokazuje neke sličnosti s kampanjom usmjerenom na ukrajinske notare, prijavljenu 2016. godine. U tom slučaju, cilj napadača bio je preuzimanje kontrole preko računara te izdavanje nelegalnih operacija u ime notara. Baš kao što napadači mogu potvrditi lažnu transakciju u ime motara, mogu izvršiti i lažnu transakciju predstavljajući se kao menadžeri u finansijskom odjeljenju kompanija.

Sudeći prema domenama koje su korištene pri distribuciji malicioznih alata, napadači dolaze iz Rusije.

Više informacija o malicioznim alatima, njihovoj distribuciji, zloupotrebi i prevenciji pročitajte OVDJE.