Een Russisch bedrijf is het doelwit van malware geworden die via de computer van de accountant 60.000 euro probeerde te stelen. Het bedrijf gebruikte een remote banksysteem om betalingen klaar te zetten. Onlangs werd het bedrijf door de bank gebeld met toestemming voor een grote betalingsopdracht.

Het ging om een betaling van 3 miljoen roebel, wat met zo'n 60.000 euro overeenkomt. Verder onderzoek wees uit dat er eerder al een betaling van 300.000 roebel had plaatsgevonden, wat zo'n 6.000 euro is. Deze betaling was niet bij de bank opgevallen. Beide betalingen waren echter gedaan via de computer van de accountant op een moment dat hij aan het lunchen was.

Patch

Onderzoek van anti-virusbedrijf Kaspersky Lab wees uit dat de aanvallers een combinatie van social engineering en malware hadden gebruikt. Er was een e-mail met een Word-bijlage meegestuurd die van de Russische Belastingdienst afkomstig leek. Dit bestand maakte misbruik van een bekend Word-lek dat Microsoft op 10 april 2012 had gepatcht. 2,5 jaar na het uitkomen van de update was die nog steeds niet door het bedrijf geïnstalleerd.

Zodra de bijlage werd geopend werd er een aangepaste versie van Remote Manipulator System geïnstalleerd. Via deze software is het mogelijk om op afstand toegang tot computers te krijgen. Het gaat hier niet om malware, maar om een legitiem product. Uiteindelijk installeerden de aanvallers ook een keylogger om het wachtwoord voor het banksysteem te onderscheppen.

Om misbruik te voorkomen controleerde de bank het IP-adres waarvandaan de betalingsopdrachten werden verstuurd, maar de cybercriminelen gebruikten hiervoor de overgenomen computer, waardoor het IP-adres hetzelfde bleef. De aanval vond gedurende een periode van vier dagen plaats. Op de eerste dag werd de e-mail verstuurd. De volgende dagen werden de activiteiten van de accountant gemonitord, om op de vierde dag de betalingsopdrachten te versturen.

Legitieme software

Volgens de onderzoekers gebruiken cybercriminelen steeds vaker legale software, zoals Remote Manipulator System. "We zien cybercriminelen legitieme applicaties gebruiken om op afstand toegang tot de computer van het slachtoffer te krijgen voordat er malware wordt geïnstalleerd", zegt analist Mikhail Prokhorenko. Hij merkt op dat beveiligingssoftware geen waarschuwing geeft als legitieme software wordt gestart.

"Als cybercriminelen de originele, ongewijzigde versies van legitieme software gebruiken, is de enige oplossing voor beveiligingssystemen om de gebruiker elke keer te waarschuwen als er een potentieel ongewenst programma wordt gestart." Volgens Prokhorenko moeten alle gebruikers beseffen dat geen enkel beveiligingsproduct absolute bescherming kan bieden. Het is dan ook belangrijk om op systeemmeldingen of verdacht gedrag te letten, zo merkt hij op.