Een nieuw beveiligingslek in de software van Microsoft blijkt door twee verschillende groepen aanvallers te zijn gebruikt, die bij elkaar meer dan 4.000 IP-adressen infecteerden. Microsoft waarschuwde dinsdag voor een kwetsbaarheid in een onderdeel van Microsoft Graphics.

Het kwetsbare onderdeel is aanwezig in Windows Vista, Windows Server 2008, Microsoft Office 2003 tot en met 2010 en Microsoft Lync. In het geval van Office 2010 speelt het probleem alleen als de software op Windows XP en Windows Server 2003 wordt gedraaid. Het probleem ontstaat door de verwerking van TIFF-bestanden, waardoor een aanvaller willekeurige code op het systeem met de rechten van de ingelogde gebruiker kan uitvoeren.

Aanval

In eerste instantie werd gedacht dat het om een gerichte aanval ging. Symantec liet weten dat de aanval onderdeel van Operation Hangover is, die in mei van dit jaar werd onthuld. Het ging hier om een omvangrijke Indiase spionagecampagne. Beveiligingsbedrijf FireEye laat nu weten dat een groep cybercriminelen eerder toegang tot de exploit voor het beveiligingslek had dan de aanvallers achter Operation Hangover. De cybercriminelen worden de "Arx group" genoemd.

Net als de groep achter Operation Hangover verstuurde ook de Arx group documenten die misbruik van het TIFF-lek maakten. Zodra slachtoffers het document openden, kregen ze een ander document te zien dat als afleiding moest dienen, terwijl in de achtergrond de malware werd geïnstalleerd.

Infecties

Aan de hand van de Command & Control-servers die beide groepen gebruikten om besmette computers mee aan te sturen, kon FireEye opmaken hoeveel infecties er hadden plaatsgevonden. De Arx group bleek 619 doelwitten en 4024 unieke IP-adressen te hebben gecompromitteerd. De meeste daarvan bevinden zich in India (63%) en Pakistan (19%). De Hangover groep wist 78 computers te compromitteren, waarvan 37 (47%) in Pakistan.

Waar de Hangover het doel had om gegevens te stelen, door het installeren van een backdoor, een keylogger, een screenshot grabber en een tool om documenten te stelen, installeerde Arx group de Citadel Trojan. Via deze banking Trojan kunnen cybercriminelen geld van online bankrekeningen stelen.

"Het gebruik van deze zero-day-exploit is veel wijdverbreider dan tot nu toe werd aangenomen. Twee verschillende groepen gebruiken deze exploit: Hangover en Arx. Hangover is in verband gebracht met een gerichte malwarecampagne en de Arx group beheert een Citadel-gebaseerd botnet voor georganiseerde misdaad", aldus analist Nart Villeneuve.