Cybercriminelen hebben de zoektocht naar vlucht MH370 aangegrepen voor het uitvoeren van gerichte phishingaanvallen tegen onder andere een Aziatische overheid en Amerikaanse denktank. De aanvallen maakten gebruik van bekende tactieken en kwetsbaarheden, zo meldt beveiligingsbedrijf FireEye.

De eerste aanval waar de beveiliger voor waarschuwt is een document genaamd "Malaysian Airlines MH370.doc". Dit document maakt misbruik van een twee jaar oud lek in Microsoft Office om een Trojaans paard te installeren. Bij een tweede aanval op de Amerikaanse denktank werd het bestand "Malaysian Airlines MH370 5m Video.exe" gebruikt. Het EXE-bestand was van een Flash video-icoon voorzien om slachtoffers zo te misleiden.

Bestandsextensie

Een andere aanval die werd uitgevoerd maakte ook gebruik van het feit dat Windows geen bestandsextensies laat zien. In dit geval ging het om het bestand "Search for MH370 continues as report says FBI agents on way to offer assistance.pdf.exe" dat van een Adobe Reader-icoon was voorzien. Weer een andere aanval die werd ontdekt maakte gebruik van het bestand "Malysia Airline MH370 hijacked by Pakistan.zip". In het ZIP-bestand zat een screensaver die malware installeerde.

De meeste spear phishingaanvallen die FireEye gebruikten kwaadaardige .DOC-bestanden die van het lek CVE-2012-0158 misbruik maakten. Deze kwetsbaarheid werd op 10 april 2012 door Microsoft gepatcht, maar wordt nog steeds door cybercriminelen bij gerichte aanvallen ingezet. Zodra slachtoffers met een kwetsbare Office-versie het DOC-bestand openen wordt het lek misbruikt en malware geïnstalleerd.