Een oud beveiligingslek in Microsoft Office wordt actief gebruikt voor het infecteren van voornamelijk Russische en Oekraïense internetgebruikers met malware om zo toegang tot hun online bankrekening te krijgen, hoewel er ook infecties door de malware in Nederland zijn waargenomen.

Dat meldt het Japanse anti-virusbedrijf Trend Micro. Volgens de virusbestrijder is er sprake van een speciaal opgezette aanvalscampagne die het de naam "Apollo" heeft gegeven. De malware waarmee de criminelen achter deze campagne toegang tot online rekeningen krijgen is een aangepaste versie van Zeus. De Zeus banking Trojan is een Trojaans paard dat speciaal is ontwikkeld om inloggegevens en transactiecodes voor internetbankieren te stelen.

E-mailbijlage

Nu wordt Zeus al geruime tijd tegen internetgebruikers uit allerlei landen ingezet. Wat deze Apollo-campagne doet opvallen is het gebruik van een oud beveiligingslek in Microsoft Office om slachtoffers te infecteren. De aanvallers versturen e-mails die van de Oekraïense overheid afkomstig lijken en informatie over een gerechtelijke uitspraak bevatten. De meegestuurde bijlage bevat een Word-document dat misbruik van beveiligingslek CVE-2012-0158 maakt.

Deze kwetsbaarheid in Microsoft Office 2003, 2007 en 2010 werd op 10 april 2012 door Microsoft gepatcht. Er zijn nog altijd duizenden Office-gebruikers die de update niet hebben geïnstalleerd. Trend Micro ontdekte wereldwijd meer dan 5.000 besmette IP-adressen, waarvan 44% in de Oekraïne en 43% in Rusland. Twee procent van de infecties werd in Nederland aangetroffen. Zodra ongepatchte gebruikers de bijlage openen wordt de malware geïnstalleerd.

"Ons onderzoek laat zien dat de meeste banking Trojans bekende banken aanvallen, maar er zijn sommige die voor een meer regionale en minder conventionele aanpak kiezen", stelt onderzoeker Jessa De La Torre.