Criminelen verspreiden malware via .pub-bestanden

[Captain Kirk]

Het gebruik van Excel-, Word- en PowerPoint-bestanden om malware te verspreiden is al geruime tijd bekend, maar nu blijken internetcriminelen ook .pub-bestanden in te zetten. Dit zijn bestanden die door Microsoft Publisher worden gebruikt. Publisher is een onderdeel van Microsoft Office.

Net als de andere Office-applicaties ondersteunt ook Publisher macro's. De nu waargenomen Publisher-bestanden bevatten een kwaadaardige macro die malware probeert te installeren, zo melden Xavier Mertens, handler bij het Internet Storm Center, en de website My Online Security. De e-mail met het document heeft als onderwerp "ExxonMobile Introduction Letter" en als bijlage "Letter of Invitation.pub". Het bericht zou zogenaamd van de ceo van ExxonMobile afkomstig zijn. In het geval gebruikers de macro's inschakelen kan er malware voor internetbankieren of ransomware worden geïnstalleerd

"Door het gebruik van .pub-bestanden hebben aanvallers een voordeel omdat potentiële slachtoffers de extensie .pub niet kennen. Het kan ook als "public" of "publicity" worden geïnterpreteerd, wat het document minder verdacht maakt", aldus Mertens. Hij merkt op dat spamfilters dit soort extensie niet blokkeren en veel beveiligingsonderzoekers in hun testomgevingen voor het analyseren van malware standaard geen Publisher hebben geïnstalleerd. "Daardoor is het onmogelijk om het exemplaar te analyseren", zo laat de onderzoeker weten. Van de 54 virusscanners op VirusTotal wisten 8 het kwaadaardige document te herkennen.

 

 

bron: security.nl