Malware gebruikt rtf-bestanden om virusscanners te omzeilen

[Captain Kirk]

Een beruchte malwarefamilie die zich de afgelopen maanden vooral via Word-, Excel- en JavaScriptbestanden verspreidde maakt nu van rtf-bestanden gebruik, in de hoop om zo virusscanners te misleiden. Dat meldt het Amerikaanse beveiligingsbedrijf FireEye in een analyse.

Het gaat om Dridex, een Trojaans paard dat speciaal ontwikkeld is om geld via internetbankieren te stelen. Bij nieuwe campagnes maakt Dridex geen gebruik meer van de eerder genoemde bestandsformaten, maar gebruikt WordprocessingML dat als een rtf-bestand is opgeslagen. WordprocessingML is een xml-formaat dat een Worddocument beschrijft. Volgens FireEye probeert de malware op deze manier bepaalde signatures van virusscanners te omzeilen.

Net als de eerder gebruikte Word- en Excelbestanden wordt er een macro gebruikt om de malware op de computer te krijgen. Om detectie door virusscanners te voorkomen bevat de kwaadaardige macro zelf geen kwaadaardige code. Die wordt in een textbox-object van een formulier opgeslagen. FireEye stelt dat de meeste exemplaren die nu worden verspreid niet door virusscanners worden opgemerkt. Zo zou slechts 1 van de 56 anti-virusbedrijven waarmee op VirusTotal wordt gescand de malware detecteren.

"Cybercriminelen blijven innoveren, waarbij ze dit keer een creatieve manier laten zien om de detectie van dreigingen via statische signatures te bemoeilijken. Om veilig te blijven is het belangrijk om op drie gebieden waakzaam en proactief te zijn, namelijk bewustzijn bij gebruikers, beleid en technologie", zegt analist Robert Venal.

 

bron: security.nl