Criminelen infecteren banksystemen via bekend Word-lek

[Captain Kirk]

Criminelen hebben vorig jaar verschillende systemen van een bank geïnfecteerd door gebruik te maken van bekende kwetsbaarheden in Microsoft Word. Uiteindelijk wisten de aanvallers zo toegang tot de interne banksystemen te krijgen en gebruikten die toegang om geldautomaten geld uit te laten geven.

De aanval op de niet nader genoemde bank wordt beschreven door antivirusbedrijf Bitdefender (pdf). De criminelen stuurden een spearphishingmail naar medewerkers van de bank. Twee bankmedewerkers openden de meegestuurde bijlage. Het ging om een .doc-bestand. Het document bevatte een exploit voor drie kwetsbaarheden in Microsoft Word ( CVE-2017-8570, CVE-2017-11882 en CVE-2018-0802).

Op het moment van de aanval waren deze beveiligingslekken al door Microsoft gepatcht. Het ging om beveiligingsupdates die op 11 juli 2017, 14 november 2017 en 9 januari 2018 door Microsoft waren uitgebracht. De aanval op de bank vond plaats tussen maart en mei 2018. Doordat de bank had nagelaten de updates te installeren werkte de exploit in het kwaadaardige document van de aanvallers en kon er malware op de systemen van de twee bankmedewerkers worden geïnstalleerd.

Vanaf de besmette systemen werd de rest van het banknetwerk aangevallen. Gedurende 63 dagen hadden de criminelen toegang tot het banknetwerk en wisten ook de beheerdersgegevens te compromitteren. De aanvallers stelen gedurende de operatie belangrijke documenten en proberen de ATM- en bankapplicaties van de bank te benaderen. Uiteindelijk slagen de criminelen hierin en kunnen zo de geldautomaten van de bank op afstand bedienen, zodat de inhoud van de geldcassettes wordt geleegd. Handlangers die bij de automaten ter plekke zijn nemen het geld mee.

De bende achter de aanval zou bij meer dan honderd banken wereldwijd hebben ingebroken en daarbij 1 miljard euro hebben gestolen. Het zijn met name Oost-Europese banken die het doelwit zijn. De vermeende bendeleider werd vorig jaar aangehouden. Ondanks de aanhouding is de bende nog steeds actief. Naast documenten met exploits voor bekende kwetsbaarheden maakt de bende ook gebruik van Word-documenten met kwaadaardige macro's.

 

 

bron: security.nl