Naast cybercriminelen maken inmiddels ook verschillende groepen die zich met cyberspionage bezighouden gebruik van het beveiligingslek in Adobe Flash Player waarvoor deze week een patch verscheen. Het gaat om de kwetsbaarheid waar het Italiaanse HackingTeam over beschikte.
Een hacker die bij het bedrijf wist in te breken maakte 400GB aan data buit en zette die online. In de bestanden werd het Flash Player-lek gevonden en een exploit die ervan gebruik maakt. De exploit werd al snel aan exploitkits voor cybercriminelen toegevoegd en is inmiddels ook in het programma Metasploit opgenomen. Nu melden anti-virusbedrijf ESET en beveiligingsbedrijf Volexity dat zogeheten APT-groepen de exploit bij gerichte aanvallen inzetten. Het gaat dan vooral om aanvallen via e-mail.
De aanval waar Volexity voor waarschuwt bestaat uit een e-mail die zich voordoet als een bericht van Adobe. In het bericht worden gebruikers opgeroepen om Flash Player via de meegestuurde link te updaten. De link wijst niet naar de website van Adobe, maar naar een pagina die het deze week gepatchte Flash-lek probeert aan te vallen. Is de aanval succesvol, dan wordt er malware op de computer geïnstalleerd waarmee de aanvallers volledige toegang tot en controle over de computer hebben.
Ook in het geval van de aanval die ESET meldt wordt er gebruik van e-mail gemaakt om slachtoffers naar een kwaadaardige website te lokken. De link in de e-mail wijst naar een landingspagina die allerlei gegevens over de computer verzamelt. In het geval de computer aan bepaalde eisen voldoet, zoals taal en tijdszone, wordt de exploit geladen. Wederom gaat het om de exploit die gebaseerd is op de code van het Italiaanse HackingTeam.
Als de aanval slaagt, dan wordt er een backdoor geïnstalleerd. Deze backdoor maakt ook gebruik van een andere exploit waar HackingTeam over beschikte en waarmee het voor een aanvaller mogelijk is om zijn rechten op Windows te verhogen. Voor deze Windows-kwetsbaarheid, die alleen kan worden aangevallen als de aanvaller al toegang tot het systeem heeft, is nog geen update beschikbaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.