image

Banken in Midden-Oosten via Excel-documenten aangevallen

maandag 23 mei 2016, 10:12 door Redactie, 0 reacties

Verschillende banken in het Midden-Oosten zijn begin mei het doelwit van een gerichte aanval geworden, waarbij de aanvallers Excel-documenten met kwaadaardige macro's verstuurden. De e-mails gingen over de it-infrastructuur van de bank, zoals een logbestand of statusrapport van de server.

In één geval leek de e-mail van de aanvallers op een legitieme e-mailconversatie tussen verschillende bankmedewerkers, waarbij de contactgegevens van werknemers van verschillende banken waren gebruikt. Deze e-mail werd vervolgens naar verschillende mensen doorgestuurd, met als bijlage het kwaadaardige Excel-bestand, zo meldt het Amerikaanse beveiligingsbedrijf FireEye. De aanval werkte trouwens alleen op Windows Vista en nieuwere Windowsversies.

Macro

Macro's staan standaard in Microsoft Office uitgeschakeld. Het kwaadaardige Excel-bestand liet gebruikers weten dat het document in een nieuwere versie van "microsoft office" was gemaakt en niet compatibel met de gebruikte versie was. Door macro's in te schakelen zou de inhoud van het document kunnen worden weergegeven. Het ging hier echter om een boodschap van de aanvallers en geen systeemmelding. Daarnaast wordt Microsoft Office door Microsoft altijd met hoofdletters geschreven.

Opvallend is volgens FireEye dat het inschakelen van de macro ervoor zorgde dat er tekst werd weergegeven. Daardoor leek de macro echt iets te doen. In werkelijkheid downloadt de macro echter malware op het systeem. Vervolgens wordt er allerlei informatie over het systeem verzameld, zoals ingelogde gebruiker, hostnaam, netwerkconfiguratiegegevens, lokale- en domeinbeheerderaccounts, actieve processen en andere gegevens. De aanvallers gebruiken verder dns-opdrachten om de data terug te sturen. Waarschijnlijk is dit gedaan omdat het dns-protocol meestal niet wordt geblokkeerd.

Opletten

"Hoewel deze aanval geen zero-days of andere geavanceerde technieken gebruikte, was het interessant om te zien hoe de aanvallers verschillende componenten gebruikten om informatie te verzamelen", zegt analist Sudeep Singh. "Deze aanval laat ook zien dat macro-malware zelfs vandaag de dag nog effectief is. Gebruikers kunnen zich tegen dergelijke aanvallen beschermen door Office-macro's uit te schakelen en op te letten als ze macro's in documenten inschakelen, met name als hierom wordt gevraagd, en zelfs als die documenten van betrouwbare partijen afkomstig lijken."

Image

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.