image

Playboy gebruikt als lokaas voor gerichte phishingaanval

dinsdag 25 november 2014, 13:15 door Redactie, 2 reacties

Een groep cyberspionnen die al een aantal jaren actief is heeft onlangs slachtoffers proberen te infecteren via e-mails die van Playboy afkomstig leken. Het ging om maat gemaakte e-mails waarin de ontvangers een gratis lidmaatschap van een maand op de Playboy Club werd beloofd.

De aanvallers hadden een domeinnaam met het woord Playboy erin geregistreerd en die als link in de e-mail gebruikt. De website bevatte een exploit voor een 19-jaar oud lek in Internet Explorer dat deze maand door Microsoft werd gepatcht. De aanval van 19 november vond plaats op het moment dat de update voor deze kwetsbaarheid al beschikbaar was. De exploit die de aanvallers gebruikten hadden ze niet zelf ontwikkeld, maar bevindt zich onder andere in Metasploit.

In het geval de exploit succesvol was werd er een tweede exploit geprobeerd. Het gaat hier om aanvalscode voor een lek in de kernelmode-driver van Windows waardoor een aanvaller willekeurige code met volledige beheerdersrechten kan uitvoeren. Dit lek werd in oktober van dit jaar door Microsoft gepatcht.

Volgens het Amerikaanse beveiligingsbedrijf FireEye dat de aanval ontdekte is de groep cyberspionnen vooral bekend vanwege het gebruik van zero day-exploits in hun aanvallen. Het gaat hierbij om aanvallen waarvoor nog geen update beschikbaar is. "De recente activiteit heeft heeft laten zien dat ze ook doelwitten via bekende exploits of social engineering aanvallen", zegt analist Ned Moran. Hij merkt op dat de groep mogelijk van strategie is veranderd nu het niet meer de beschikking over zero day-exploits heeft.

Reacties (2)
26-11-2014, 08:51 door Anoniem
spionnen? beetje misleidend taalgebruik mijns inziens.
Namens welke overheid opereerden zij? bedoel je niet toevallig "handige scriptkidies"?
26-11-2014, 10:52 door Anoniem
Het klinkt allemaal een beetje klunzig en doorzichtig...zou me niets verbazen als het om een wanabee zou gaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.