Ransomware verspreidt zich via Word-document in pdf-bestand
Beveiligingsonderzoekers waarschuwen voor een nieuwe spamcampagne waarbij allerlei e-mails met pdf-documenten worden verstuurd die ontvangers met de Locky-ransomware proberen te infecteren. De e-mails doen zich voor als een bericht van een scanner en claimen een afbeelding te bevatten.
Het als bijlage meegestuurde pdf-bestand bevat echter een embedded Word-document. Als gebruikers het pdf-bestand openen verschijnt er een waarschuwing of ze het embedded Word-document willen openen. In de waarschuwing wordt gemeld dat het Word-document macro's of virussen kan bevatten die schade aan de computer kunnen aanrichten. Kiest de gebruiker er toch voor om het document te openen, dan wordt hem vervolgens door Microsoft Word gevraagd om macro's in het Word-document in te schakelen.
Geeft de gebruiker ook hier gehoor aan dan wordt uiteindelijk de Locky-ransomware op de computer geïnstalleerd die bestanden voor losgeld versleutelt. "De aanval vertrouwt erop dat gebruikers kwaadaardige bijlagen openen die legitiem lijken. Veel onderzoeken hebben aangetoond dat gebruikers de zwakste schakel in de aanvalsketen zijn en criminelen weten dit maar al te goed", aldus anti-malwarebedrijf Malwarebytes.
(Nou ja, het is sowieso lopende bandwerk met al die ellende)
https://blog.didierstevens.com/2015/08/28/test-file-pdf-with-embedded-doc-dropping-eicar/
document zelf: pdf-doc-vba-eicar-dropper.zip
Dat is een pdf met daarin een Word document met in het document een macro met het bekende eicar testvirus.
Resulatetn:
- Gedownload: geen probleem, kan het bestand opslaan (is een zip bestand)
- Uitpakken: zoals op de gelinkte site aangegeven moet ik een password ingeven.
Zodra ik dat doe gaat m'n antivirus in werking (F-secure) en verwijdert het bestand.
Dat is dus een eerste beveiligingslaag, maar niet alrijdveilig voor nieuwe malware.
- Antivirus uitgeschakeld en bestand alsnog uitgepakt.
- Open de pdf met Sumatra-pdf. Geen enkel probleem, dat programma ziet niet eens dat er een word-document in zit.
Want Sumatra-pdf ondersteunt geen javascript in pdf's (voorzover mij bekend).
Sumatra pdf is de browser die in mijn browser standaard aan pdf's gekoppeld is.
- Open de pdf met X-Change-viewer (mijn standaard pdf-reader). Daarin heb ik Javascript niet aan staan, maar het kán daarin wel.
Ook hierin (dus zonder Javascript) geen enkel probleem. Zelfde resultaat als bij Sumatra-pdf.
Javascript uit in je browser is dus een tweede beveiligingslaag. Ik heb eigenlijk nog nooit een pdf gehad waarvoor ik Javascript wél aan moet hebben En geloof me, ik verwerk en lees heel wat pdf's!
- Vervolgens heb ik bewust de Javascript in de reader aangezet. Dat maakt een wereld van verschil: nu wordt er inderdaad een waarschuwing gegeven dat er een Word document geopend zal worden.
- Voor proef op ja geklikt.
Dan opent het Word document met de bekende waarschuwing dat er macro's in zitten en dat die een risico inhouden.
Het klikken op OK betekent echter niet, dat de door mij standaard ingestelde hoogste macro-beveiliginggraad van Word nu ineens doorbroken wordt. Daarvoor zou ik meer moeten doen, namelijk dat niveau verlagen
Het op het hoogste niveau hebben staan van macro-beveiliging is dus een derde laag.
Al met al zou ik heel wat handelingen moeten ondernemen en heel wat keren (tegen m'n gevoel in) toestemmingen moeten geven voor de macro werkelijk zijn werk zou kunnen doen.
Je zou eigenlijk mogen stellen dat als bijv. een personeelsafdeling een zgn. cv opent en daardoor met deze malware 'besmet' wordt, de instellingen van de programmatuur wel heel erg zwak staan. En dat op meerdere niveau's.
Mensen die zich zorgen maken over dergelijke Malware kunnen dus letten op:
- Uitschakelen van Javascript in alle op de computer aanwezige pdf-readers
- In Word het macro-beveiligingsniveau zo hoog mogelijk zetten.
Met dat laatste heb ik makkelijk praten, omdat ik nooit (meer) macro's gebruik. Dat is in sommige bedrijven wel anders natuurlijk.
En vanzelfsprekend is en blijft stap 1: geen bijlagen openen waarvan je de afkomst betwijfelt.
Maar ook dat kan voor sommige afdelingen lastig zijn, vooral personeelsafdelingen krijgen mails uit alle hoeken. Met meestal cv als pdf-bijlage...
Javascript uit in je browser is dus een tweede beveiligingslaag. - moet zijn:
Javascript uit in je pdf-reader.....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.