image

Malware bestuurt besmette computers via Dropbox

dinsdag 1 december 2015, 15:19 door Redactie, 3 reacties

Onderzoekers hebben een aanval op mediabedrijven in Hongkong ontdekt waarbij er malware is gebruikt die besmette computers via Dropbox bestuurt. Dat meldt het Amerikaanse beveiligingsbedrijf FireEye. Volgens de IT-beveiliger is er sprake van een trend waarbij aanvallers hun malafide activiteiten in het verkeer van legitieme webdiensten verbergen, om zo detectie te voorkomen.

De nu waargenomen aanval begon met een spear phishingmail die een Word-document bevat. Het Word-document maakt gebruik van een bekend beveiligingslek in Microsoft Word dat op 10 april 2012 werd gepatcht. Deze specifieke kwetsbaarheid wordt al jaren gebruikt om organisaties en bedrijven aan te vallen. In het geval beheerders de afgelopen 3,5 jaar geen beveiligingsupdates voor hun Office-software hebben geïnstalleerd en het document wordt geopend, raakt de computer met de Lowball-malware besmet. Deze malware gebruikt Dropbox als een command & control-server.

Via de programmeerinterface van Dropbox kan de malware bestanden uploaden, download en bestanden uitvoeren. De communicatie loopt via HTTPS over poort 443. Als de computer interessant genoeg is wordt er aanvullende malware geïnstalleerd. Volgens FireEye wilden de aanvallers de mediabedrijven waarschijnlijk monitoren vanwege de politieke en economische crisis in Hongkong. De IT-beveiliger onderzocht de malware samen met Dropbox en ontdekte een tweede operatie die ook van de cloudopslagdienst gebruikmaakte. Mogelijk zijn bij deze operatie 50 doelwitten aangevallen, maar wie het zijn kon niet worden vastgesteld.

Reacties (3)
01-12-2015, 16:56 door Anoniem
Kan je bestanden uitvoeren via de Dropbox API? Volgens mij loopt die zin niet helemaal lekker.
02-12-2015, 10:50 door Anoniem
Wat is het toch fijn dat Zscaler gebruikers hier geen last van hebben, Zscaler gebruikers zijn ten alle tijden virtueel gepatched:)
02-12-2015, 19:46 door Anoniem
Door Anoniem: Wat is het toch fijn dat Zscaler gebruikers hier geen last van hebben, Zscaler gebruikers zijn ten alle tijden virtueel gepatched:)
... sprak de "koning" tot zijn volk.

wow, virtueel patching van een lek uit 2012! En vervolgens gaan ze een zero day lek gebruiken... Gelukkig zijn er ook vendoren die sandbox oplossingen bieden waarin de expoit zelf in dit document op CPU level gedecteerd kan worden, en de exploit/malware het endpoint niet eens bereikt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.