Onderzoekers waarschuwen voor een nieuwe spamcampagne waarbij cybercriminelen een vijf jaar oud beveiligingslek in Microsoft Office gebruiken om systemen met een wachtwoordsteler te infecteren. De aanval begint met een document in het rtf-formaat. Het document bevat een exploit voor een kwetsbaarheid in Office 2003, 2007 en 2010 die in 2012 door Microsoft werd gepatcht.

In het geval gebruikers het document openen en een kwetsbare versie van Microsoft Office hebben draaien, wordt de Loki-bot geïnstalleerd. Deze malware steelt wachtwoorden van browsers, e-mailprogramma's, ftp/ssh-applicaties en andere software. De aanval werd door onderzoekers van Cisco ontdekt. Ze stellen dat de aanval vooral opvalt vanwege de moeite die is gedaan om detectie door virusscanners te voorkomen. Het document is namelijk opzettelijk beschadigd waardoor virusscanners de exploit niet kunnen identificeren en geen waarschuwing geven.

Van de 45 virusscanners op VirusTotal wisten slechts 3 scanners de exploit in het document te detecteren. "Deze campagne laat zien dat verfijning en innovatie binnen een aanval niet tot de gebruikte exploits is beperkt. In dit geval hebben de aanvallers een bekend lek gebruikt. Dit is echter gecombineerd met uitgebreide kennis van het rtf-bestandsformaat dat is ontworpen om detectie door beveiligingsproducten te voorkomen en de kansen te vergroten dat het slachtoffer het document opent", concluderen de onderzoekers.