image

Slachtoffers phishing eerst gebeld, dan geïnfecteerd

dinsdag 14 mei 2013, 11:00 door Redactie, 2 reacties

Er is een nieuwe phishingaanval actief waarbij slachtoffers eerst worden gebeld voordat ze een e-mail met een kwaadaardige bijlage of link krijgen toegestuurd. De aanvallen vinden tegen een beperkt aantal Europese organisaties plaats en zouden mogelijk al sinds februari gaande zijn. Bij één van de aanvallen deed de aanvaller zich voor als een werknemer van een zakenpartner.

De beller vroeg de werknemer bij het aangevallen bedrijf om een rekening te betalen die per e-mail zou worden toegestuurd. De e-mail bevatte een kwaadaardige link of bijlage. De aanvallen zouden vooral tegen Franse bedrijven zijn gericht, hoewel ook organisaties in andere Europese landen het doelwit zijn geweest.

Motief
Volgens Symantec hebben de aanvallers vooral een financieel motief, aangezien de e-mail aankomt bij de financiële administratie. De werknemers van deze afdeling zijn gewend om facturen en rekeningen te verwerken, waardoor de aanval een grotere slagingskans zou hebben. Daarnaast kunnen deze werknemers ook financiële transacties verrichten.

De malware die de aanvallers gebruiken is de Shadesrat, een Remote Access Trojan (RAT). Deze malware is publiek toegankelijk en kan voor een bedrag tussen de 30 en 75 euro worden verkregen.

Eén van de ontwikkelaars van het Blackshades project werd vorig jaar gearresteerd, maar de malware is nog steeds in ontwikkeling. Shadesrat is ook in Nederland actief, zo blijkt uit onderstaande statistieken van Symantec.

Reacties (2)
14-05-2013, 11:12 door lucb1e
Leuk grafiekje, maar er wordt niet naar verwezen in het artikel noch staat in de grafiek zelf waar het over gaat. Aantal infecties van Shadesrat ofzo? Of het aantal van dat soort e-mails (zover bekend of geschat)?
14-05-2013, 11:42 door Spiff has left the building
Door lucb1e:
Leuk grafiekje, maar er wordt niet naar verwezen in het artikel noch staat in de grafiek zelf waar het over gaat. Aantal infecties van Shadesrat ofzo? Of het aantal van dat soort e-mails (zover bekend of geschat)?
In het bron-artikel
http://www.symantec.com/connect/blogs/phone-call-phish-and-remote-access-trojan
onder de grafiek:
Figure 4. Unique W32.Shadesrat infections, top 10 countries
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.