Een groep cybercriminelen die de afgelopen jaren miljoenen euro's van banken in Rusland wist te stelen is weer actief en richt zich op banken en financiële instellingen in het Midden-Oosten, Europa en de Verenigde Staten. Dat stelt beveiligingsbedrijf Proofpoint in een nieuw rapport (pdf).
Voor de aanvallen op banken in het Midden-Oosten die in maart van dit jaar plaatsvonden gebruikten de aanvallers Word-documenten die naar directeuren, senior managers en andere beslissingsmakers werden gestuurd. De documenten maakten gebruik van een kwetsbaarheid in Microsoft Office die Microsoft op 8 september 2015 patchte. In het geval de banken de beschikbare beveiligingsupdate niet hadden geïnstalleerd en de ontvanger het document opende, werd er malware op de computer geplaatst. De aanvallers verstuurden naast e-mails met Word-bestanden als bijlagen ook e-mails met een link naar een Java-bestand. Het ging om een remote access Trojan (rat) waarmee de aanvallers volledige controle over de computer kregen. In dit geval moesten de slachtoffers de malware zelf installeren.
Op hetzelfde moment werden er ook aanvallen tegen Europese en Amerikaanse financiële instellingen uitgevoerd, alsmede mediaorganisaties en personen die zich met brandbestrijding, veiligheid en airconditioning en verwarming bezighouden. Hoewel deze laatste sectoren misschien ongerelateerd lijken, kunnen die als springplank voor aanvallen op het beoogde doelwit dienen. Al de aangevallen personen waren werkzaam op de financiële of helpdeskafdeling. Onder de aangevallen bedrijven bevinden zich ook Nederlandse organisaties. De meeste doelen werden echter in de Verenigde Staten, Oman en Australië aangetroffen.
Voor de aanvallen gebruikten de aanvallers weer Word-documenten. In plaats van een kwetsbaarheid in Office werden er Word-documenten met kwaadaardige macro's ingezet. Macro's staan standaard uitgeschakeld, maar als het uitvoeren van macro's was ingeschakeld of de ontvanger de macro's inschakelde, werd er malware op de computer geïnstalleerd. Volgens Proofpoint laten de aanvallen zien dat de groep zich niet alleen meer op Russische banken richt, maar ook op banken en organisaties daarbuiten.
Deze posting is gelocked. Reageren is niet meer mogelijk.