Nederlandse internetgebruikers zijn het doelwit van een gerichte e-mail die computers via het nieuwe Java-lek probeert te besmetten. Het bericht lijkt afkomstig van BDO Accountants & Adviseurs en heeft als onderwerp "Let op! BTW tariefverhoging per 1 oktober 2012", aldus anti-virusbedrijf Sophos. De tekst waarschuwt voor de komende verhoging van het belastingtarief en bevat een link waarbij de ontvanger kan controleren wat de verhoging voor hem inhoudt.

Ook zou de link handige tips bevatten. In werkelijkheid wijst de link naar een geobfusceerd script dat een kwaadaardig Java-applet downloadt dat de computer via het lek in Java 7 probeert te infecteren. De e-mail is niet afkomstig van BDO, maar is verstuurd via hostingprovider Redbee. Volgens Sophos gaat het hier om een gerichte aanval.

Exploit
Het Delftse beveiligingsbedrijf Fox-IT maakte een analyse van de aanvallen die op dit moment plaatsvinden. Via de exploit worden verschillende banking Trojans geïnstalleerd, zoals Hermes, Zeus en Citadel. Deze Trojaanse paarden zijn speciaal ontwikkeld om geld van online bankrekeningen te stelen. Analyse van het gevonden Hermes-exemplaar, alsmede de Command & Control servers waarmee het verbinding maakt, laat volgens analist Michael Sandee zien dat de aanvallers achter deze aanval ook achter de Dorifelbesmetting in Nederland zaten.

Een ander interessante ontdekking is dat de gebruikte exploitcode op 17 augustus is gecompileerd, wat nog voor de ontdekking van de meeste andere bekende exploits is. De exploit verschilt van de door FireEye ontdekte exploit. "Deze tijdslijn is interessant, aangezien het dichter bij de datum is van de aankondiging van de VulnDisco Java zero-day die op 10 augustus werd aangekondigd", merkt de analist op.

Russisch
Het gaat hier om een exploit die aan het exploitprogramma van het Amerikaanse beveiligingsbedrijf Immunity werd toegevoegd. Dit is een commercieel programma waarmee bedrijven de veiligheid van hun systemen kunnen testen. Sandee acht het mogelijk dat de kwetsbaarheid al onder cybercriminelen rondging en sommigen die hebben opgepikt, of dat die uit VulnDisco is gestolen.

Verder blijkt dat de aanvallers verschillende OpenX advertentieservers hackten om de exploit in advertenties te verstoppen. Die kwamen onder andere op de website van Omroep West terecht. "Er was veel meer moeite gedaan om ervoor te zorgen dat de exploit niet door virusscanners werd ontdekt in vergelijking met ander exploits die nu rondgaan." Sandee vermoedt dat de exploit op Russische cybercrimefora eerst werd aangeboden.

Nitro
De exploit die door beveiligingsbedrijf FireEye werd geopenbaard zou ook door de Nitro-groep zijn gebruikt. De Nitro-groep werd bekend vanwege aanvallen op chemische bedrijven. Deze groep zou nu ook achter verschillende aanvallen met de nieuwe Java-exploit zitten.

Symantec stelt dat het waarschijnlijk is dat ook deze groep slachtoffers via e-mail aanvalt, net als bij vorige campagnes. De Nitro-groep zou de Java-exploit sinds 22 augustus gebruiken. Eenmaal succesvol wordt er een backdoor op het systeem gedownload.

Security.nl maakte dit achtergrondartikel over het uitschakelen van Java.