Het Nationaal Cyber Security Centrum (NCSC) van de overheid heeft een waarschuwing afgegeven voor de e-mails die sinds gisteren rondgaan en via kwaadaardige Word-documenten malware proberen te installeren. De Nederlandstalige e-mail gaan over een openstaande factuur of een nota.
Uit de meldingen die het NCSC heeft ontvangen bestaat het vermoeden dat de afzender in de e-mail een LinkedIn-connectie heeft met de ontvanger. Dit is volgens de overheidsinstantie nog niet bevestigd. "De afzender in de e-mail is door de kwaadwillenden 'gespooft'. Dat wil zeggen dat deze e-mail niet door de afzender zelf is opgesteld." Eerder liet beveiligingsbedrijf Fox-IT weten dat de aanvallers gegevens van LinkedIn voor de inhoud van de tekst gebruikten. Het gaat om de aanhef van de e-mail, genoemde rol en bedrijfsnaam. Dit staat echter los van het datalek waar LinkedIn in 2012 mee te maken kreeg, zoals gisteren ook in het artikel van Security.NL werd genoemd.
Het doel van de e-mail is om de ontvanger het meegestuurde Word-document te laten openen. Het Word-document vraagt de ontvanger om macro's in te schakelen om de inhoud weer te kunnen geven. In werkelijkheid zorgt het inschakelen van macro's ervoor dat er malware vanaf een gehackte server wordt gedownload. Op het moment van de campagne werd het Word-document nog niet gedetecteerd door virusscanners, aldus het NCSC. "Het is nog onduidelijk of anti-virussoftware nu wel de bijlage als malafide detecteert." Op dit moment lijken de e-mails verzonden te worden vanaf t-online.de. Het NCSC heeft contact opgenomen met Deutsche Telecom met het verzoek dit incident verder te onderzoeken.
Om infectie te voorkomen adviseert het NCSC aan organisaties om macro's uit te schakelen en ervoor te zorgen dat gebruikers die niet zelf kunnen inschakelen. Indien het Word-document toch is geopend wordt aangeraden om met verschillende anti-virusoplossingen de mogelijk geïnfecteerde systemen te scannen. Zijn de macro's ingeschakeld, dan wordt aangeraden om aangifte bij de politie te doen.
Beveiligingsbedrijf RedSocks laat weten dat de gehackte server die werd gebruikt voor het verspreiden van de malware sinds gisterenavond is opgeschoond. Gebruikers die de macro's in het kwaadaardige document nu inschakelen worden volgens het bedrijf dan ook niet meer geïnfecteerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.