Onderzoekers hebben vorige week een 'dik' malware-exemplaar ontdekt dat tegen verschillende bedrijven en instellingen in de Verenigde Arabische Emiraten, Oman, Bahrein en de Caribische Eilanden was ingezet. Het ging om een gerichte aanval waarbij er een phishingmail werd gebruikt dat van een EXE-bestand was voorzien. Het bestand emiratesstatement.exe had een PDF-icoon.

Aangezien Windows standaard geen extensies toont, zouden gebruikers kunnen denken dat het om een PDF-bestand gaat. Het eerste dat aan het bestand opvalt is de omvang. "Een exemplaar van meer dan 3MB is vreemd. Normale malware-exemplaren zijn kleiner dan 1MB", zegt Christiaan Beek van McAfee.

Eenmaal actief blijkt dat de malware 14 bestanden bevat, waaronder verschillende BAT-bestanden. Elk van deze bestanden speelt een aparte rol. Zo worden er verschillende bestanden gebruikt voor het opslaan van toetsaanslagen en het achterhalen van opgeslagen wachtwoorden.

Wachtwoorden
Tijdens de installatie van de malware wordt de Windows Firewall via twee eenvoudig .BAT scripts uitgeschakeld. Alle gestolen gegevens worden vervolgens via FTP naar een FTP-server gestuurd. Door de outputbestanden van de malware te analyseren ontdekte McAfee de locatie van de slachtoffers. De slachtoffers zijn actief in telecomsector, IT, reizen en natuurlijke bronnen, alsmede overheidsinstanties.

De inloggegevens die de malware steelt worden voor verschillende doeleinden gebruikt, zoals webmail van de aangevallen organisatie, Facebook, Hotmail, interne CRM-systemen, reisreserveringssystemen, inloggegevens voor nieuwssites, E-diensten voor overheidsinstanties en firewall inloggegevens.