Aanvallers verspreiden backdoor via malafide doc-bestanden

[Captain Kirk]

Aanvallers verspreiden op dit moment een backdoor genaamd Zyklon via malafide doc-bestanden, zo waarschuwt securitybedrijf FireEye. De aanval begint met een e-mail die een zip-bestand bevat, dat weer het malafide doc-bestand bevat. Het doc-bestand maakt gebruik van twee kwetsbaarheden in Microsoft Office die in september en november vorig jaar door Microsoft werden gepatcht.

Daarnaast probeert het document ontvangers via de DDE-feature in Word te infecteren. De feature maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. In het geval het Excel-document wordt bijgewerkt zal dit ook meteen in het Word-document zichtbaar zijn. De DDE-feature maakt het echter ook mogelijk om in plaats van Excel een applicatie zoals cmd.exe of Powershell aan te roepen en daarmee kwaadaardige commando's uit te voeren. Aangezien de feature actief werd aangevallen heeft Microsoft die via updates in Word en Excel uitgeschakeld.

In het geval gebruikers het doc-bestand met een ongepatchte versie van Office openen wordt de Zyklon-backdoor geïnstalleerd. Deze backdoor kan toetsaanslagen opslaan, wachtwoorden uit browsers, e-mailclients en ftp-programma's verzamelen, licentiesleutels stelen, het systeem voor ddos-aanvallen en cryptomining gebruiken en aanvullende malware installeren. Volgens FireEye zijn de aanvallen gericht tegen telecomproviders, verzekeringsmaatschappijen en financiële dienstverleners.

 

 

bron: security.nl