Het recent ontdekte beveiligingslek in Internet Explorer 10 waarvoor nog altijd geen update is verschenen hebben aanvallers gebruikt om het Windows hosts-bestand bij bepaalde slachtoffers aan te passen. Daarnaast zouden twee verschillende groepen de exploit gebruiken waarmee het lek wordt aangevallen.
Dat laat beveiligingsbedrijf Seculert weten. Onlangs kwam FireEye met de waarschuwing voor het nieuw ontdekte lek, dat op een website van Amerikaanse veteranen was ontdekt. Volgens Microsoft is het lek zowel in IE9 als IE10 aanwezig. De aanvallen zouden zich echter alleen op IE10-gebruikers richten.
Beveiligingsbedrijf Websense liet na de ontdekking door FireEye weten dat het de aanval ook op een website van de overkoepelende organisatie van de Franse luchtvaartindustrie had ontdekt. Deze aanval vond al in januari plaats. Seculert heeft deze aanval verder onderzocht en ontdekte dat de malware het op de remote users van een specifiek Frans luchtvaartbedrijf had voorzien.
Zodra de malware op een computer actief was werden aan het Windows hosts-bestand de domeinen van een Frans luchtvaartbedrijf toegevoegd. Windows gebruikt het hosts-bestand om te kijken wat het IP-adres van een opgegeven domein is. Malware kan het hosts-bestand aanpassen om bijvoorbeeld banksites naar IP-adressen van de aanvallers te laten wijzen. In het geval van de IE10-aanval werden juiste de echte IP-adressen van het aangevallen bedrijf ingevoerd.
Via de domeinen kunnen werknemers van het luchtvaartbedrijf op afstand op verschillende applicaties en omgevingen inloggen. Volgens Seculert werden de echte domeinen en IP-adressen juist toegevoegd om DNS-connectiviteitsproblemen te voorkomen. Zodra gebruikers op de remote applicatie of website inlogden werden hun gebruikersnaam en wachtwoord onderschept. Het beveiligingsbedrijf stelt dat het aanvallen van remote users een groeiende trend is.
Deze posting is gelocked. Reageren is niet meer mogelijk.