Nieuws

Digitale aanval op oliehandelaren zonder malware

dinsdag 19 mei 2015, 16:03 door Redactie, 2 reacties

Onderzoekers van het Spaanse anti-virusbedrijf Panda Security hebben een digitale aanval op oliehandelaren ontdekt waarbij geen malware werd gebruikt en de handelaren ook niet het uiteindelijke doelwit waren. De aanval begint met een uitvoerbaar bestand dat op een PDF-document lijkt.

In werkelijkheid gaat het om een zichzelf uitpakkend archiefbestand met verschillende bestanden, waaronder verschillende scripts, batch-bestanden en exe-bestanden. Toch zijn deze bestanden op zichzelf niet kwaadaardig. "Het zijn allemaal legitieme applicaties die iedereen kan gebruiken", aldus de onderzoekers, die de dreiging "The Phantom Menace" (pdf) noemen. De applicaties zijn gemaakt om gebruikersnamen en wachtwoorden in de e-mailcient en browser in een tekstbestand op te slaan en via FTP te versturen.

Op de FTP-server van de aanvallers ontdekten de onderzoekers meer dan 80.000 tekstbestanden. Het bleek om bestanden afkomstig van tien bedrijven in de oliesector te gaan. Deze bedrijven waren echter niet het uiteindelijke doelwit. Dat zijn namelijk oliekopers. En dan met name oliekopers die speciale olie uit de Nigeriaanse stad Bonny zoeken. Deze olie is vanwege zijn samenstelling zeer geliefd. In Nigeria houdt de Nigerian National Petroleum Corporation (NNPC) op elke olietransactie toezicht.

Iedereen die in Nigeria olie wil verhandelen moet ook bij de NNPC geregistreerd zijn. Oplichters die op deze markt actief zijn benaderen handelaren en tussenpersonen en bieden bijvoorbeeld een grote hoeveelheid olie uit Bonny aan tegen een zeer aantrekkelijk tarief. De potentiële koper vraagt om documenten dat het product ook bestaat. Hiervoor kunnen verschillende documenten worden gebruikt die door de NNPC zijn uitgegeven.

Om de kopers op te lichten gebruiken de oplichters legitieme documenten die ze bij de eerder aangevallen oliehandelaren hebben buitgemaakt. Vervolgens krijgt de koper dit document te zien en doet een aanbetaling van bijvoorbeeld 50.000 tot 100.000 dollar, maar krijgt zijn olie nooit te zien. Uiteindelijk wist Panda Security de mogelijke dader achter de aanvallen te traceren. Het probleem is dat geen enkel van de aangevallen oliehandelaren aangifte wil doen, uit angst voor imagoschade en het feit dat ze zelf geen slachtoffer zijn geworden. Hierdoor kan de politie geen onderzoek starten en loopt de vermeende dader nog altijd vrij rond.

Kwalitatief tekort aan cyber security professionals dreigt

Amerikaanse bank reset wachtwoorden na DNS-aanval

Reacties (2)

19-05-2015, 16:52 door Erik van Straten

Natuurlijk gaat het om malware, en het toont aan nogmaals dat virusscanners slecht werken. Het lijkt meer een excuus van Panda waarom ze dit niet eerder detecteerden. Opvallend is trouwens ook dat de aanval kennelijk is ontdekt in feb 2014 en pas in mei 2015 wordt gepubliceerd (ik heb geen idee waarom).

Uit http://www.pandasecurity.com/mediacenter/src/uploads/2015/05/oil-tanker-en.pdf:

However, it caught our attention that no antivirus engine had been able to detect it, although this shouldn’t be so surprising if you take into consideration that every day over 250,000 new malware files are put in circulation.

Nogmaals een virusboer die het zelf toegeeft: met 250.000 unieke malware-exemplaren per dag kan het niet anders dan dat je achter de feiten aanloopt en niet alles detecteert.

Wat natuurlijk van de zotte is, dat een e-mail bijlage genaamd "Document.pdf.exe", me alle herkenbare karakteristieken van een executable file (o.a. eerste 2 bytes "MZ" etc.), geen alarmbellen doet afgaan in virusscanners (zowel mailserver als desktop). Ook indien gezipt verwacht ik een blokkade door virusscanners.

Nog meer "red flags":
- "The .vbs file runs a .bat file that modifies the Windows registry to ensure that a file called aagi.bat is run every time the system starts"

- Er worden 4 executables naar schijf geschreven: "These are all legitimate applications that anybody could use: the first three are designed to collect the credentials (user names and passwords) stored in the local mail client and Internet browser, and save them to a text file."

- "Then, the ici.bat file uses the ATTRIB system command to hide the two folders it created, disables the Windows firewall"

- "Finally, it uses the FTP command to upload those files to an external FTP server controlled by the attackers."

Hoezo geen malware? Geef gewoon toe dat virusscanners kansloos zijn zodra aanvallers een beetje creatieviteit vertonen, bijvoorbeeld door taken over meerdere bestanden te verdelen.

19-05-2015, 19:14 door [Account Verwijderd]

[Verwijderd]

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer