image

MSUpdater Trojan infiltreert defensiebedrijven via Office-lek

dinsdag 24 april 2012, 13:51 door Redactie, 3 reacties

Een Trojaans paard dat eerder bij aanvallen tegen Tibetaanse organisaties werd ingezet, wordt nu gebruikt om defensiebedrijven te infiltreren. Het gaat om de MSUpdater Trojan, die al in januari werd ontdekt. Toen verspreidde de malware zich via beveiligingslekken in Adobe Reader. De nieuwste versie gebruikt een onlangs gepatchte kwetsbaarheid in Microsoft Office (MS12-027) om toegang tot het bedrijfsnetwerk te krijgen. Naast defensiebedrijven zouden ook bedrijven in de luchtvaartindustrie het doelwit zijn, aldus beveiligingsbedrijf AlienVault Labs.

De malware krijgt zijn naam niet vanwege het gebruikte beveiligingslek, maar vanwege de gebruikte bestandsnaam "msupdate.exe" en communicatie met de C&C-server. Die bestaat vaak uit HTTP GET requests die "/microsoftupdate/getupdate/default.aspx" bevatten. De aanvallers zouden door de gelijkenis met Microsoft Windows Update niet op willen vallen.

E-mail
Voor het uitvoeren van de aanvallen gebruiken de aanvallers e-mails met als onderwerp de 'Space and Missile Defense Conference'. Zodra het doelwit het bestand SMD_Conference_2012.doc op een ongepatchte computer opent, wordt de malware geïnstalleerd en een onschuldig document geladen.

De malware maakt verbinding met de Command & Control-servers van de aanvallers en stuurt vervolgens het type besturingssysteem, serienummer van de machine en computernaam door. Het kwaadaardige Word-document wordt door 5 van de 41 virusscanners op VirusTotal herkend.

Reacties (3)
24-04-2012, 14:13 door MrBil
Een document dat 737.2 KB ( 754924 bytes ) groot is!

Wat een inhoudt moet het document toch hebben! ^,0
24-04-2012, 14:17 door Anoniem
Het kwaadaardige Word-document wordt door 5 van de 41 virusscanners op VirusTotal herkend.

Door welke 5 dan wel? Een linkje zou fijn zijn..
24-04-2012, 15:20 door MrBil
Door Anoniem:
Het kwaadaardige Word-document wordt door 5 van de 41 virusscanners op VirusTotal herkend.

Door welke 5 dan wel? Een linkje zou fijn zijn..
Als je je nou even verdiept in het artikel, dan kun je dit gewoon vinden..

zie: http://labs.alienvault.com/labs/index.php/2012/msupdater-trojan-found-using-cve-2012-0158-space-and-missile-defense-conference/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.