Onderzoekers hebben een spionagecampagne ontdekt waarbij zowel computers als smartphones worden aangevallen en de aanvallers gehackte routers als proxy gebruiken. De aanval begint met Word-documenten die naar ambassades, onderzoekers, legerfunctionarissen, oliebedrijven en banken in met name Rusland en Oost-Europa worden gestuurd. De documenten maken misbruik van beveiligingslekken in Word, zo meldt anti-virusbedrijf Kaspersky Lab.
Zo gebruikten de aanvallers een lek dat in maart van dit jaar door Microsoft werd gepatcht, maar daarvoor al bij de aanvallen werd ingezet. Zodra de malware actief is gebruiken de aanvallers de Zweedse clouddienstaanbieder CloudMe en het WebDAV-protocol om met de besmette machines te communiceren. Om de identiteit verder te maskeren wordt ook een proxynetwerk van gehackte routers gebruikt, die zich voornamelijk in Zuid-Korea bevinden. Volgens beveiligingsbedrijf Blue Coat zijn de routers waarschijnlijk door slechte configuraties en standaard inloggegevens overgenomen.
Van de besmette computer worden allerlei gegevens verzameld. Naast computers richten de aanvallers zich ook op smartphones. Mobiele gebruikers zouden via links in e-mailberichten naar kwaadaardige apps worden gelokt. Daarnaast gebruikten de aanvallers mogelijk ook mms-berichten om links naar de mobiele malware te verspreiden. Zo zijn er malware-modules voor Android, BlackBerry en iOS-apparaten aangetroffen.
De mobiele malware wordt ook ingezet om informatie over slachtoffers te verzamelen, waaronder telefoongesprekken. Het gaat dan met name om telefoongesprekken van Androidgebruikers die als MP4-geluidsbestand worden opgeslagen en periodiek naar de aanvallers worden gestuurd.
Onderzoekers van Blue Coat stellen in hun onderzoeksrapport (pdf) dat de aanvallers opzettelijk misleidende sporen in de malware hebben achtergelaten, die het lastig moeten maken om de identiteit van de makers te achterhalen. Zo worden er allerlei woorden en namen uit verschillende landen gebruikt, zoals Spaans, Indiaas en Engels, maar zijn de aanvallers actief in Oost-Europese tijdszones en laten ze soms Chinese malware achter.
Beheerders kunnen infecties opsporen door naar ongeautoriseerd WebDAV-verkeer te kijken en te controleren of regsvr32.exe niet continu in de processenlijst draait. Om een besmetting te voorkomen wordt aangeraden om software up-to-date te houden, mobiele telefoons niet te jailbreaken, geen apps van onofficiële bronnen te installeren en alert te zijn op ongevraagde e-mails met rtf-documenten en mms-berichten die app-updates aanbieden.
Deze posting is gelocked. Reageren is niet meer mogelijk.