Banken in Midden-Oosten via Excel-documenten aangevallen
Verschillende banken in het Midden-Oosten zijn begin mei het doelwit van een gerichte aanval geworden, waarbij de aanvallers Excel-documenten met kwaadaardige macro's verstuurden. De e-mails gingen over de it-infrastructuur van de bank, zoals een logbestand of statusrapport van de server.
In één geval leek de e-mail van de aanvallers op een legitieme e-mailconversatie tussen verschillende bankmedewerkers, waarbij de contactgegevens van werknemers van verschillende banken waren gebruikt. Deze e-mail werd vervolgens naar verschillende mensen doorgestuurd, met als bijlage het kwaadaardige Excel-bestand, zo meldt het Amerikaanse beveiligingsbedrijf FireEye. De aanval werkte trouwens alleen op Windows Vista en nieuwere Windowsversies.
Macro
Macro's staan standaard in Microsoft Office uitgeschakeld. Het kwaadaardige Excel-bestand liet gebruikers weten dat het document in een nieuwere versie van "microsoft office" was gemaakt en niet compatibel met de gebruikte versie was. Door macro's in te schakelen zou de inhoud van het document kunnen worden weergegeven. Het ging hier echter om een boodschap van de aanvallers en geen systeemmelding. Daarnaast wordt Microsoft Office door Microsoft altijd met hoofdletters geschreven.
Opvallend is volgens FireEye dat het inschakelen van de macro ervoor zorgde dat er tekst werd weergegeven. Daardoor leek de macro echt iets te doen. In werkelijkheid downloadt de macro echter malware op het systeem. Vervolgens wordt er allerlei informatie over het systeem verzameld, zoals ingelogde gebruiker, hostnaam, netwerkconfiguratiegegevens, lokale- en domeinbeheerderaccounts, actieve processen en andere gegevens. De aanvallers gebruiken verder dns-opdrachten om de data terug te sturen. Waarschijnlijk is dit gedaan omdat het dns-protocol meestal niet wordt geblokkeerd.
Opletten
"Hoewel deze aanval geen zero-days of andere geavanceerde technieken gebruikte, was het interessant om te zien hoe de aanvallers verschillende componenten gebruikten om informatie te verzamelen", zegt analist Sudeep Singh. "Deze aanval laat ook zien dat macro-malware zelfs vandaag de dag nog effectief is. Gebruikers kunnen zich tegen dergelijke aanvallen beschermen door Office-macro's uit te schakelen en op te letten als ze macro's in documenten inschakelen, met name als hierom wordt gevraagd, en zelfs als die documenten van betrouwbare partijen afkomstig lijken."
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.