image

DreamMail + RTF = gehackte organisaties

donderdag 24 januari 2013, 12:32 door Redactie, 1 reacties

Het hacken van organisaties via gerichte e-mails is nog altijd de voornaamste methode waardoor aanvallers bij organisaties weten binnen te dringen. De e-mails zijn op maat gemaakt en bevatten een bijlage die misbruik van een beveiligingslek in bijvoorbeeld Office, Flash Player of Windows maakt. Meer dan de helft van alle gerichte aanvallen via e-mail wordt verstuurd via DreamMail.

DreamMail is een e-maiclient die verschillende protocollen ondersteunt, waaronder SMTP, eSMTP, POP3, Hotmail en Yahoo. Bij 51,3% van de spear phishingaanvallen blijkt dat de aanval via DreamMail is verstuurd. Microsoft Outlook Express volgt met 20%, terwijl Yahoo Mail Web Service bij 15% van de aanvallen wordt gebruikt.

De documenten die de aanvallers gebruiken zijn meestal in het Rich Text Format (.RTF). 37% van de gebruikte bijlagen eindigt op .RTF. Excel-bestanden werden bij 29% gebruikt, gevolgd door RAR-bestanden met 14%, aldus anti-virusbedrijf Trend Micro.

Software
De meegestuurde bestanden worden van verschillende exploits voorzien, maar drie exploits springen eruit. Het gaat om een beveiligingslek in de Windows Common Controls (CVE-2012-0158). Deze wordt bij 33% van de aanvallen ingezet. Ingebedde Flash-objecten staan met 28% op een tweede plek.

Het is mogelijk om in Office-bestanden Flash-bestanden te embedden, waardoor aanvallers via de e-mail lekken in Flash Player kunnen misbruiken. De derde kwetsbaarheid die eruit springt is een lek in Microsoft Office (CVE-2010-3333) met 21%.

De aangevallen software bestaat uit de 'usual suspects', zoals Office, Flash Player, Excel, Reader, Word, Adobe Reader en Acrobat. Opmerkelijk is dat 0,12% van de gerichte aanvallen een uit 2009 stammend lek in Foxit Reader gebruiken.

Reacties (1)
24-01-2013, 12:44 door 0101
En DreamMail is, hoe verassend, een van oorsprong Chinese e-mailclient (http://www.dreammail.org/).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.