image

Digitale bankrover verspreidt zich via script in Word-document

vrijdag 21 oktober 2016, 12:24 door Redactie, 1 reacties

Een Trojaans paard dat gegevens voor fraude met internetbankieren steelt en zich eerder nog via macro's in Word-documenten verspreidde gebruikt nu een nieuwe tactiek, namelijk een kwaadaardig vbs-script. Via social engineering wordt geprobeerd om gebruikers dit script te laten openen.

De aanval begint met een e-mail die claimt een rekening te bevatten. Als bijlage is een docx-bestand meegestuurd. Zodra de gebruiker dit bestand opent verschijnt er een melding die de aanvallers hebben toegevoegd dat er op het "Word-bestand" in het Word-bestand moet worden geklikt. In werkelijkheid is dit het kwaadaardige vbs-script. Zodra de gebruiker dit script, wat op het eerste gezicht een Word-document lijkt, aanklikt laat Word een melding zien of de gebruiker het vbs-script wil openen. Als de gebruiker ook hiermee akkoord gaat wordt uiteindelijk de Dridex banking Trojan geïnstalleerd. De malware nestelt zich in de browser en wordt actief zodra de gebruiker bepaalde banksites bezoekt, zo laat het Duitse anti-virusbedrijf G Data weten.

Image

Reacties (1)
21-10-2016, 17:40 door wallum
Het is mij niet helemaal duidelijk of dit te blokkeren is. Gebeurt het toevoegen van het 'Word-bestand' in het Word-document via een OLE-koppeling? Want dat is wel te blokkeren. Of is dit weer een andere techniek? Zie ook
https://www.security.nl/posting/489341/Cyberspionnen+vallen+Flash-lekken+aan+via+Word-document
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.