image

Wachtwoordsteler verspreidt zich via 5 jaar oud Office-lek

donderdag 23 maart 2017, 17:28 door Redactie, 3 reacties

Onderzoekers waarschuwen voor een nieuwe spamcampagne waarbij cybercriminelen een vijf jaar oud beveiligingslek in Microsoft Office gebruiken om systemen met een wachtwoordsteler te infecteren. De aanval begint met een document in het rtf-formaat. Het document bevat een exploit voor een kwetsbaarheid in Office 2003, 2007 en 2010 die in 2012 door Microsoft werd gepatcht.

In het geval gebruikers het document openen en een kwetsbare versie van Microsoft Office hebben draaien, wordt de Loki-bot geïnstalleerd. Deze malware steelt wachtwoorden van browsers, e-mailprogramma's, ftp/ssh-applicaties en andere software. De aanval werd door onderzoekers van Cisco ontdekt. Ze stellen dat de aanval vooral opvalt vanwege de moeite die is gedaan om detectie door virusscanners te voorkomen. Het document is namelijk opzettelijk beschadigd waardoor virusscanners de exploit niet kunnen identificeren en geen waarschuwing geven.

Van de 45 virusscanners op VirusTotal wisten slechts 3 scanners de exploit in het document te detecteren. "Deze campagne laat zien dat verfijning en innovatie binnen een aanval niet tot de gebruikte exploits is beperkt. In dit geval hebben de aanvallers een bekend lek gebruikt. Dit is echter gecombineerd met uitgebreide kennis van het rtf-bestandsformaat dat is ontworpen om detectie door beveiligingsproducten te voorkomen en de kansen te vergroten dat het slachtoffer het document opent", concluderen de onderzoekers.

Image

Reacties (3)
23-03-2017, 18:09 door Anoniem
Er is pas sinds 2012 een patch. Werkelijk ongelofelijk dat dit mogelijk is.
24-03-2017, 10:03 door Anoniem
welke 3 virusscanners hebben hem wel gedetecteerd?
24-03-2017, 16:45 door Anoniem
Het is al veel langer bekend dat .rtf bestanden allerlei risico's kunnen opleveren indien ze in MS-Word geopend worden.

Daarom heb ik zowel in mijn browser als in Windwos ingesteld staan dat .rtf bestanden standaard in Wordpad geopend worden.

Daardoor verklein je het risico tot vrijwel geen risico.
Tenzij je via rechtermuisknop het opgeslagen bestand alsong bewust in MS-Word opent.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.