Beveiligingsbedrijf Proofpoint waarschuwt dat het een e-mailcampagne heeft ontdekt die kwaadaardige documenten verspreidt. Daarbij maken de aanvallers gebruik van een lek in Microsoft Word dat dit weekend door onderzoekers naar buiten werd gebracht.

Proofpoint meldt dat het bij de malware om de bekende Dridex-trojan gaat, die zich onder meer richt op het stelen van inloggegevens voor internetbankieren. De spamcampagne was gericht aan miljoenen gebruikers en concentreerde zich op ondernemingen in Australië. De onderzoekers merken op dat de personen achter de campagne snel hebben gereageerd, omdat het Word-lek nog niet lang bekend is. Hiervoor werden veel slachtoffers met Dridex geïnfecteerd door het gebruik van Word-macro's.

De verstuurde e-mails zijn voorzien van een bijlage in de vorm van een rtf-bestand. De e-mail doet het voorkomen alsof hij afkomstig is van een apparaat binnen de organisatie van de ontvanger, bijvoorbeeld een scanner of een kopieerapparaat. Het onderwerp is dan ook 'scan data' en de bijlagen dragen namen als 'scan 12345', waarbij de getallen willekeurig zijn. Zodra het document wordt geopend, wordt de exploit uitgevoerd. Proofpoint merkt op dat dit tijdens tests gebeurde, hoewel er een bericht in Word 2010 opdook met de waarschuwing dat het bestand links naar andere bestanden bevat.

Het Word-lek in kwestie, dat het overnemen van een systeem mogelijk maakt, werd onlangs naar buiten gebracht door onderzoekers van beveiligingsbedrijf McAfee en later door FireEye. Het gaat om een ernstig lek, omdat een succesvolle exploit de beveiligingsmaatregelen van Windows omzeilt en niet vereist dat gebruikers macro's inschakelen in Word. Gebruikers wordt dan ook aangeraden om geen onbekende Word-bestanden te openen. De methode zou niet werken in combinatie met Protected View, dat daarom een belangrijke barrière vormt, mits het ingeschakeld is.

F-Secure-beveiligingsonderzoeker Mikko Hypponen " href="https://twitter.com/mikko/status/851454200747880448" rel="external" target="_blank" style="color: rgb(1, 74, 147); text-decoration-line: underline;">gaat ervan uit dat Microsoft dinsdag een patch uitbrengt voor de kwetsbaarheid, die samen met een Windows-lek wordt gebruikt. Microsoft zelf heeft nog geen bericht over de kwetsbaarheid naar buiten gebracht. De aanval via Word-documenten werkt doordat het bestand een OLE2link-object bevat. Na het openen van het bestand haalt Word via een http-verzoek een kwaadaardig hta-bestand binnen, dat eruitziet als een rtf-bestand. Vervolgens wordt Word afgesloten om de eerdergenoemde waarschuwing te verbergen en krijgt het slachtoffer een nepdocument te zien.

Reacties mogelijk gemaakt door CComment