Medewerkers van banken in meer dan 25 landen zijn het doelwit van aanvallen geworden waarbij werd geprobeerd om banksystemen via Microsoft Office-exploits en LNK- en CHM-bestanden met malware te infecteren. Dat meldt securitybedrijf Group-IB in een analyse.
De aanvallers zouden sinds de zomer van 2016 actief zijn en onder andere in 2017 phishingaanvallen op Oekraïense banken hebben uitgevoerd. Hoewel de groep zich in eerste instantie richtte op Oekraïense en Russische banken, zijn de activiteiten van de aanvallers in meer dan 25 landen waargenomen. Om banken binnen te dringen versturen de aanvallers phishingmails met kwaadaardige bijlagen.
"In het begin gebruikte de groep gehackte servers en gecompromitteerde accounts voor de aanvalscampagnes, maar later registreerden ze aparte phishingdomeinen en creëerden zelf gesigneerde certificaten", aldus de analyse van Group-IB. "Om filtersystemen te omzeilen maakten ze gebruik van DKIM en SPF. Om 'legitieme' e-mails te maken die van de banken afkomstig leken, gebruikten de hackers domeinen van de banken waar geen SPF-records voor waren ingesteld."
De phishingmails waren van een kwaadaardige bijlage voorzien. Het ging dan om Microsoft Office-documenten die van vijf bekende kwetsbaarheden in de kantoorsoftware van Microsoft misbruik maakten. Het gaat om beveiligingslekken waar in 2017 en 2018 updates van Microsoft voor verschenen. Wanneer banken deze updates niet hadden geïnstalleerd kon er door het openen van de kwaadaardige documenten malware worden geïnstalleerd. Daarnaast maakten de aanvallers gebruik van CHM- en LNK-bestanden die als bijlage werden meegestuurd.
Zodra de aanvallers toegang tot het banknetwerk hebben richten ze zich op systemen die verantwoordelijk zijn voor geautomatiseerde banktransacties, geldautomaten en betaalkaartverwerkingssystemen. Bij drie bevestigde aanvallen zou de groep 800.000 dollar uit geldautomaten hebben weten te stelen. Opvallend aan de groep is dat die volgens Group-IB uit twee personen bestaat, een ontwikkelaar en operator. Volgens Dmitry Volkov, CTO van Group-IB, is het tegenwoordig veel eenvoudiger om een cybercrimineel te worden dan vijf tot zeven jaar geleden. "Je kunt servers huren, bestaande exploits aanpassen en legitieme tools gebruiken. Dit maakt het lastiger voor de verdedigers, maar eenvoudiger voor de aanvallers." De aangevallen banken bevinden zich in Europa, Azië en Afrika.
Deze posting is gelocked. Reageren is niet meer mogelijk.