Een groep cyberspionnen heeft via verschillende social engineering-trucs wereldwijd meer dan 3.000 computers weten te infecteren, waarbij ongeveer 1 miljoen bestanden werden gestolen. Ook in Nederland zijn één of meerdere infecties waargenomen, zo meldt anti-virusbedrijf Kaspersky Lab.

De aanvallers, die vanuit het Midden-Oosten zouden opereren, hadden het vooral op politieke en militaire inlichtingen voorzien. Voor het infecteren van slachtoffers werden verschillende trucs toegepast. Zo werden er spear phishingmails gestuurd, met als bijlage RAR-bestanden. Deze RAR-bestanden bevatte weer SCR- en en EXE-bestanden. Ook gebruikten de aanvallers een truc met snelkoppelingen.

Doelwitten kregen een RAR-bestand toegestuurd dat uitgepakt verschillende bestanden opleverde, waaronder twee .doc-bestanden. Eén bestand was echter een snelkoppeling. Zodra gebruikers de snelkoppeling openden werd de malware uitgevoerd. Een andere truc die werd toegepast was het gebruik van RTLO, wat staat voor Right-to-Left-Override en ervoor zorgt dat via een speciaal unicode-karakter de volgorde van karakters van een bestandsnaam kan worden omgedraaid.

Hierdoor wordt SexyPictureGirlAl[RTLO]gpj.exe in Windows als SexyPictureGirlAlexe.jpg weergegeven. In het geval van deze aanvallen deed de malware zich via RTLO voor als een PDF-document, voorzien van bijbehorend icoon, maar was in werkelijkheid een uitvoerbaar SCR-bestand. Gebruikers kunnen RTLO-aanvallen herkennen door in Windowsmappen de detailweergave in te stellen. Achter de bestandsnaam verschijnt dan ook het bestandstype. In dit geval zou er zijn aangegeven dat het om een applicatie ging.

Facebook en Real Player

De aanvallers waren ook actief op Facebook, waarbij ze doelwitten via de sociale netwerksite benaderden. Nadat het vertrouwen was gewonnen werden er RAR-bestanden verstuurd die malware bevatte. Voor grootschalige infecties onder activisten en politieke figuren werd Facebook ook ingezet. In dit geval werden er Facebookberichten geplaatst die naar malafide pagina's wezen waarop malware werd aangeboden. Ook kwam het voor dat de aanvallers naar een pagina met bijvoorbeeld een gecensureerde video wezen. Om de video te bekijken moest de aangeboden "RealPlayer plug-in" worden geïnstalleerd. Het aangeboden bestand was echter malware.

Nadat computers waren geïnfecteerd werden de nieuwe doelwitten in groepen verdeeld. Vervolgens werd er een lijst van alle XLS-, DOC-, JPG- en WAV-bestanden op de harde schijf en aangesloten USB-sticks naar de aanvallers gestuurd. De aanvallers maakten vervolgens verbinding met de computer om interessante foto's en afbeeldingen te stelen. Ook werden er chatgesprekken en screenshots verzameld. Afhankelijk van het doelwit werd de surveillance vervolgens geïntensiveerd of gestaakt. In totaal wisten de aanvallers meer dan 800.000 bestanden van harde schijven te stelen en ruim 80.000 bestanden van USB-sticks.