Digitale aanval op oliehandelaren zonder malware
Onderzoekers van het Spaanse anti-virusbedrijf Panda Security hebben een digitale aanval op oliehandelaren ontdekt waarbij geen malware werd gebruikt en de handelaren ook niet het uiteindelijke doelwit waren. De aanval begint met een uitvoerbaar bestand dat op een PDF-document lijkt.
In werkelijkheid gaat het om een zichzelf uitpakkend archiefbestand met verschillende bestanden, waaronder verschillende scripts, batch-bestanden en exe-bestanden. Toch zijn deze bestanden op zichzelf niet kwaadaardig. "Het zijn allemaal legitieme applicaties die iedereen kan gebruiken", aldus de onderzoekers, die de dreiging "The Phantom Menace" (pdf) noemen. De applicaties zijn gemaakt om gebruikersnamen en wachtwoorden in de e-mailcient en browser in een tekstbestand op te slaan en via FTP te versturen.
Op de FTP-server van de aanvallers ontdekten de onderzoekers meer dan 80.000 tekstbestanden. Het bleek om bestanden afkomstig van tien bedrijven in de oliesector te gaan. Deze bedrijven waren echter niet het uiteindelijke doelwit. Dat zijn namelijk oliekopers. En dan met name oliekopers die speciale olie uit de Nigeriaanse stad Bonny zoeken. Deze olie is vanwege zijn samenstelling zeer geliefd. In Nigeria houdt de Nigerian National Petroleum Corporation (NNPC) op elke olietransactie toezicht.
Iedereen die in Nigeria olie wil verhandelen moet ook bij de NNPC geregistreerd zijn. Oplichters die op deze markt actief zijn benaderen handelaren en tussenpersonen en bieden bijvoorbeeld een grote hoeveelheid olie uit Bonny aan tegen een zeer aantrekkelijk tarief. De potentiële koper vraagt om documenten dat het product ook bestaat. Hiervoor kunnen verschillende documenten worden gebruikt die door de NNPC zijn uitgegeven.
Om de kopers op te lichten gebruiken de oplichters legitieme documenten die ze bij de eerder aangevallen oliehandelaren hebben buitgemaakt. Vervolgens krijgt de koper dit document te zien en doet een aanbetaling van bijvoorbeeld 50.000 tot 100.000 dollar, maar krijgt zijn olie nooit te zien. Uiteindelijk wist Panda Security de mogelijke dader achter de aanvallen te traceren. Het probleem is dat geen enkel van de aangevallen oliehandelaren aangifte wil doen, uit angst voor imagoschade en het feit dat ze zelf geen slachtoffer zijn geworden. Hierdoor kan de politie geen onderzoek starten en loopt de vermeende dader nog altijd vrij rond.
Uit http://www.pandasecurity.com/mediacenter/src/uploads/2015/05/oil-tanker-en.pdf:
Wat natuurlijk van de zotte is, dat een e-mail bijlage genaamd "Document.pdf.exe", me alle herkenbare karakteristieken van een executable file (o.a. eerste 2 bytes "MZ" etc.), geen alarmbellen doet afgaan in virusscanners (zowel mailserver als desktop). Ook indien gezipt verwacht ik een blokkade door virusscanners.
Nog meer "red flags":
- "The .vbs file runs a .bat file that modifies the Windows registry to ensure that a file called aagi.bat is run every time the system starts"
- Er worden 4 executables naar schijf geschreven: "These are all legitimate applications that anybody could use: the first three are designed to collect the credentials (user names and passwords) stored in the local mail client and Internet browser, and save them to a text file."
- "Then, the ici.bat file uses the ATTRIB system command to hide the two folders it created, disables the Windows firewall"
- "Finally, it uses the FTP command to upload those files to an external FTP server controlled by the attackers."
Hoezo geen malware? Geef gewoon toe dat virusscanners kansloos zijn zodra aanvallers een beetje creatieviteit vertonen, bijvoorbeeld door taken over meerdere bestanden te verdelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.