Gehackte ftp-servers gebruikt voor verspreiding bankmalware

[Captain Kirk]

De meeste malafide e-mails die links naar malware bevatten maken gebruik van http-links, maar onderzoekers hebben nu een campagne waargenomen waarbij naar malware op gehackte ftp-servers wordt gelinkt. De e-mails doen zich voor als een bericht van een scanner en linken zogenaamd naar een gescand document. De link wijst in werkelijkheid naar doc- en xls-bestanden op gehackte ftp-servers.

De doc-bestanden maken gebruik van de DDE-feature in Word om via een PowerShell-commando de Dridex-bankmalware te downloaden. De Dridex-malware is ontwikkeld om gegevens voor internetbankieren te onderscheppen waarmee vervolgens wordt gefraudeerd. Vanwege het feit dat de DDE-feature in Word door aanvallers wordt misbruikt besloot Microsoft die in december via een update uit te schakelen. Het xls-bestand bevat een kwaadaardige macro die de Dridex-malware op het systeem downloadt.

Volgens securitybedrijf Forcepoint draaien de gehackte ftp-servers niet dezelfde ftp-software, waardoor de aanvallers de inloggegevens waarschijnlijk op een andere manier hebben gecompromitteerd. "Cybercriminelen blijven continu hun aanvalsmethodes bijwerken om voor een maximaal aantal infecties te zorgen. In dit geval zijn ftp-sites gebruikt, mogelijk in een poging om detectie door e-mailgateways en netwerkbeleid te omzeilen die ftp-sites mogelijk als betrouwbare locaties beschouwen", zegt onderzoeker Roland Dela Paz.

 

 

bron: security.nl