Utilizado en un principio para el espionaje industrial y ahora para robar información de los usuarios domésticos. Es bastante habitual que las amenazas se reutilicen y este troyano es un claro ejemplo de esta práctica. Laziok se aprovecha de las posibilidades de la PowerShell y de la existencia de Google Docs para distribuirse entre los usuarios.
Se detectó por primera vez hace más de un mes y desde entonces el número de infecciones ha ido en aumenta de forma exponencial, ayudado sobre todo por la capacidad que posee la amenaza para distribuirse haciendo uso de las redes locales a las que se encuentran conectados los equipos y también las unidades extraíbles que se conectan con mucha frecuencia.
Los expertos en seguridad describen esta como un telemétrico capaz de recopilar una gran cantidad del sistema infectado, no solo a nivel de estadísticas hardware y software sino también en lo referido a datos que el usuario hace uso en algún momento durante la utilización del equipo.
Para distribuir la amenaza los ciberdelincuentes se están valiendo de varias páginas web que poseen un código JavaScript que es el que provoca la descarga de un ejecutable que en muchas ocasiones los usuarios no dudan en abrir, permitiendo la llegada de la amenaza.
Aunque esta no es la única forma que utilizan para distribuir la amenaza, ya que anteriormente hemos mencionado el servicio Google Docs, formando parte de esta segunda vía de difusión. Los ciberdelincuentes utilizan estos documentos que son compartidos y en cuyo interior se encuentra el enlace que permite la descarga del archivo malicioso.
Laziok envía los datos a un servidor remoto
Teniendo en cuenta que se trata de una herramienta dedicada al espionaje industrial nos podemos hacer a la idea de cuál es la potencia de esta herramienta a la hora de recopilar datos de equipos con sistema operativo Windows. Una vez se han conseguido se envían a un servidor remoto propiedad de los ciberdelincuentes, recurriendo al mercado negro para hacer dinero, algo probable si hablamos de aquellos que pertenecen a servicios de correo electrónico o redes sociales.
Expertos en seguridad detallan que los ciberdleincuentes han buscado alojar la amenaza en el almacenamiento en la nube de Google y en Dropbox, procediendo ambos servicios a las pocas horas a su eliminación, viéndose obligados a utilizar otros dominios.
La mayoría de las herramientas de seguridad detecta la presencia de la amenaza y bloquea su instalación, por lo que un antivirus podría ser la solución al problema.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
