De cybercriminelen die gisteren Nederlandse internetgebruikers via een nep e-mail van een incassobureau aanvielen, zijn waarschijnlijk ook verantwoordelijk voor de valse KLPD-mail die in juli werd verstuurd. Dat stelt Security.nl-lezer Regenpijp naar aanleiding van een analyse van de gebruikte malware. De mail die gisteren rondging was afkomstig van incassobureau Proquest Incasso.

Het incassobureau zou in naam van energiebedrijf Nuon opereren en stelde dat de ontvanger een openstaande bedrag had. Om dat te voldoen of aanvullende informatie te bekijken, moest men een link openen. Die link probeerde gebruikers met malware te infecteren.

"Na het starten van het virus (wat eruit ziet als een PDF-document, door het logo van Acrobat Reader en RTLO) krijgt de gebruiker een pop-up met een 'waarschuwing' dat er iets mis is gegaan, waardoor de gebruiker verder geen argwaan zal krijgen als die de executable opent", laat Regenpijp weten.

Overeenkomsten
Een scan met Malware Bytes leverde niks op, maar HitmanPro detecteerde de malware wel. "En eerlijk gezegd zie ik wel een overeenkomst met de KLPD spear phishing-aanval via CVE-2012-1723 (Java-lek) die toen net uit was, want draai ik dat vorige virus dan vind ik onder Startup een snelkoppeling (MSupdate) naar "C:\Documents and Settings\Admin\Local Settings\Application Data\49cf2272\juschedq.exe". Het lijkt me dus sowieso wel voor de hand liggend dat beide aanvallen van dezelfde virusschrijvers afkomstig zijn."

De mappen waarin de malware wordt geplaatst zijn zo goed als identiek. In beide gevallen wordt de naam verandert in de naam van een bekend proces + 1 letter (nuon: conhostd.exe, klpd: juschedq.exe). In beide gevallen hebben de snelkoppelingen in de Startup folder een naam die afkomstig is van Windows (nuon: Configuration, klpd: MSupdate). In beide gevallen Tor hidden services als C&C servers.

Volgens Regenpijp laten beide malware-exemplaren via exact hetzelfde commando op dezelfde poort de Tor client benaderen, namelijk met: "C:\Documents and Settings\Admin\Local Settings\Application Data\Apps\trupd.exe" --SocksPort 52300 --FascistFirewall 1

"In beide gevallen gaat het waarschijnlijk om gehackte websites waarop de malware gehost wordt. (overigens is proquestincasso.com gisteren geregistreerd. En beide aanvallen zijn/waren gericht tegen Nederlandse bedrijven, consumenten, etc. Lijken me genoeg overeenkomsten", concludeert Regenpijp.

Wachttijd
Nuon plaatste gisteren ook een waarschuwing op de eigen website om consumenten te waarschuwen. "Op dit moment nemen veel klanten contact op met Nuon vanwege een nepfactuur. Deze is afgelopen nacht gestuurd naar kennelijk een groot aantal willekeurige emailadressen. De nepfactuur is schijnbaar afkomstig van een incassoburo genaamd Proquest", aldus de energieleverancier.

Die laat verder weten dat bijna alle telefoontjes die bij Nuon binnenkomen hierover gaan. "Hierdoor ontstaat op dit moment een langere wachttijd bij de Nuon klantenservice."