חוקרי ESET גילו קמפיין זדוני שמתרחש בארבע מדינות מחבל הבלקן: סרביה, קרואטיה, מונטנגרו ובוסניה והרצגובינה. הקורבנות במסגרת מתקפה זו הינן מחלקות פיננסיות בעסקים.


התוקפים משתמשים לניהול המתקפה במיילים זדוניים עם קישורים אשר מובילים לקובץ זדוני. התוכן במיילים ברובו עוסק בנושאי מיסים, ונראה שהמתקפה מיועדת לרואי חשבון ומנהלי חשבונות.

חוקרי ESET מאמינים כי המניע של גל פריצות אלו הוא כלכלי.


שני כלים זדוניים מסייעים לקמפיין: הראשון פועל בשיטת דלת אחורית והשני הוא טרויאני, עם גישה מרחוק, הם ניקראים BalkanDoor ו-BalkanRAT .

הקורבן למעשה ימצא את עצמו עם שני כלים אלו פועלים על המחשב כאשר BalkanRAT מאפשר לתוקפים לשלוט מרחוק בצורה ידנית על המחשב המותקף, באמצעות ממשק גרפי.

ואילו BalkanDoor מאפשר להם לשלוט מרחוק באמצעות שורת פקודה.


לאחר שחוקרי ESET בדקו את הכלים הזדוניים הם גילו כי חלק מהיכולות של BalkanDoor למשל, היא פתיחת מסך ללא סיסמה, אשר מסייעת לתוקפים לפרוץ למחשב גם כאשר בעל המחשב נעל את המחשב עם סיסמה אישית.

מלבד זאת, הקובץ הזדוני מסוגל לפעול מעצמו על המחשב אף מבלי שהמשתמש יפתח אותו באופן ידני.

ואילו BalkanRAT יכולה למשל לעקוב אחר סגנון העבודה של המשתמש ולשלוט במחשב באופן ידני. התכנה הזדונית מסוגלת להשתמש בכלים נופים כדי להסתיר את נוכחותה במחשב של הקורבן עד שאפילו בחיפוש בתוך התיקיות הפנימיות האייקון יוסתר יחד עם כל תהליכי התכנה במחשב.

מהבדיקה הממושכת עולה, כי התרמית התחילה להתפשט כבר משנת 2016 והסבה נזק עצום למאות משרדי ראיית חשבון בבלקאן.

ייתכן והפשיטה היתה גדלה גם לאיזורים אחרים בעולם, בייחוד שמתברר כי במשך שלוש שנים תמימות היא פעלה בארצות אלו ללא כל גורם שיפצח אותה.

מה ניסו להשיג הפורצים מעבר למספרים וידע ממוני של בעלי העסקים שעבדו בשיתוף חברות הכספים? בESET מעריכים שהחומר שניגלה לפורצים הוא דיי והותר כדי לעשות בו שימוש רווחי.