De FBI waarschuwt bedrijven en overheidsinstanties voor nieuwe gerichte phishingaanvallen die waarschijnlijk van een groep cyberspionnen afkomstig zijn en onder andere de Amerikaanse presidentsverkiezingen als lokaas gebruiken. Dat blijkt uit een melding die de FBI laatst heeft verspreid.
Volgens de opsporingsdienst maken de aanvallers gebruik van "nieuw geïdentificeerde exploits" in e-mails over buitenlandse zaken en de recente Amerikaanse verkiezingen om slachtoffers met malware te infecteren, zo blijk uit het document (pdf) waar Public Intelligence over schrijft. De aanvallen beginnen met een spearphishingmail die of een kwaadaardig Microsoft Office-document of een link naar een zip-bestand bevat. Het Office-document bevat een downloader die aanvullende kwaadaardige code downloadt.
Het zou om zowel Word- als Excel-documenten gaan die kwaadaardige macro's bevatten. Pas als de macro's door de ontvanger worden ingeschakeld kan de infectie plaatsvinden. Ook het in geval van de e-mail waarbij de links worden gebruikt moet het doelwit eerst zelf het zip-bestand downloaden, openen en de bestanden hierin uitvoeren om besmet te raken. De FBI meldt dat de aanvallers achter deze aanvallen vaak malware en tools gebruiken die alleen vanuit het geheugen worden uitgevoerd. In het geval van een ontdekte infectie moet er daarom eerst een image van het geheugen worden gemaakt voordat de computer wordt uitgeschakeld.
Om de aanvallen te voorkomen wordt aangeraden om software up-to-date te houden, en dan met name browsers, browserplug-ins en kantoorsoftware om documenten mee te openen. Verder moeten bijlagen in ongevraagde e-mails niet worden geopend en kunnen organisaties whitelisting implementeren om het uitvoeren van malware tegen te gaan. De FBI adviseert om in ieder geval het uitvoeren van bestanden in TEMP-mappen te blokkeren, aangezien de meeste malware hiervandaan wordt uitgevoerd. Ook doen organisaties er verstandig aan om verschillende lokale beheerderswachtwoorden te gebruiken, om zo laterale bewegingen tussen werkstations te voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.