Een aanval die eind vorig en begin dit jaar plaatsvond en waarbij de harde schijven van duizenden computers in Saoedi-Arabië en andere golfstaten werden gewist, begon met een kwaadaardige macro. Dat stellen onderzoekers van IBM, Palo Alto Networks en SecureWorks in nieuwe analyses.
De recente aanvallen hadden veel overeenkomsten met de Shamoon-malware die in 2012 al 30.000 computers van de Saoedische oliegigant Saudi Aramco saboteerde. Hoe deze nieuwe variant, Shamoon 2 genaamd, zich verspreidde was echter onbekend. Wel was duidelijk dat de aanvallers toegang tot het netwerk van de aangevallen organisaties hadden voordat de computers werden gewist, aangezien Shamoon 2 wachtwoorden van beheerders gebruikte.
Onderzoekers stellen nu dat de aanvallers e-mails met afgekorte links naar Excel- en Word-documenten verstuurden. Hiervoor werden gespoofte en mogelijk ook gehackte websites van de Saoedische overheid alsmede Egyptische en Saoedische bedrijven gebruikt. Daardoor leek het om een legitiem document te gaan. In werkelijkheid bevatte het document echter een kwaadaardige macro. Zodra gebruikers de macro inschakelden werd de PupyRAT-malware geïnstalleerd.
Eenmaal actief verzamelde deze malware de wachtwoorden van systeembeheerders en bracht belangrijke systemen in kaart. Vervolgens werd Shamoon 2 gelanceerd die harde schijven van besmette computers wiste en de systemen zo onbruikbaar maakte. Volgens de onderzoekers laat de aanval zien dat organisaties hun werknemers moeten onderwijzen over het gevaar van gerichte phishingmails en afgekorte links. Daarnaast moeten organisaties macro's in Microsoft Office-producten uitschakelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.