Microsoft dicht actief misbruikt zero-day lek in Microsoft Office
Een zero-day beveiligingslek in Microsoft Office is door Microsoft gedicht. Het lek werd actief misbruikt en gaf aanvallers de mogelijkheid op afstand willekeurige code uit te voeren op systemen van slachtoffers.
Zowel McAfee als FireEye waarschuwden voor de zero-day aanvallen en meldden dat deze sinds eind januari actief worden misbruikt. Alle versies van Microsoft Office zijn kwetsbaar, inclusief Office 2016 op Windows 10. De bron van het probleem zat volgens McAfee in Windows Object Linking and Embedding (OLE), een feature van Microsoft Office.
Vermomd als RTF-bestanden
Bij de aanval worden malafide bestanden vermomd als RTF-bestanden. Deze malafide bestanden maken vervolgens verbinding met een server die onder beheer staat van de aanvaller en downloaden een bestand dat wordt uitgevoerd als .hta bestand. Dit geeft de aanvaller de mogelijkheid willekeurige code op het systeem uit te voeren. Met behulp van de aanval kon een Windows-systeem worden besmet zonder interactie van de gebruiker. Ook was het niet noodzakelijk dat gebruikers macro’s hebben ingeschakeld om de aanval uit te kunnen voeren.
De aanval is volgens beveiligingsbedrijf Proofpoint gebruikt om de Dridex trojan te installeren op systemen. Deze trojan zoekt actief naar gegevens voor internetbankieren, met als doel hiermee bankfraude te plegen. Meer informatie over deze aanval is te vinden in de blogpost van Proofpoint. FireEye meldt dat de aanval daarnaast is gebruikt om gerichte aanvallen uit te voeren op doelwitten. Hierbij wordt gebruik gemaakt van de malware LATENTBOT en WingBird/FinFisher. Meer informatie over deze aanval is te vinden in de blogpost van FireEye.
Meer over
Lees ook
Proofpoint: Noord-Koreaanse hackers stelen miljarden aan cryptocurrency
TA444, een staatsgesponsorde hackersgroep uit Noord-Korea is waarschijnlijk belast met het genereren van inkomsten voor het Noord-Koreaanse regime. Deze aanvallen overlappen met APT38, Bluenoroff, BlackAlicanto, Stardust Chollima en COPERNICIUM. In het verleden waren de pijlen gericht op banken om uiteindelijk geld door te sluizen naar andere dele1
Onderzoek Venafi onthult bloeiende ransomware-marktplaats op het dark web
Venafi maakt de resultaten bekend van een dark web-onderzoek naar ransomware die via kwaadaardige macro's wordt verspreid. Venafi en Forensic Pathways, een specialist in criminele inlichtingen, hebben tussen november 2021 en maart 2022 35 miljoen dark web-URL's geanalyseerd van marktplaatsen en forums, met behulp van de Forensic Pathways Dark Sear1
Proofpoint: Cybercriminelen bereiden zich voor op een wereld zonder macro's
Microsoft kondigde in oktober 2021 en februari 2022 aan dat het XL4- en VBA-macro's standaard gaat blokkeren voor Office-gebruikers. De wijzigingen zijn uiteindelijk dit jaar van start gegaan. Cybercriminelen hebben hier op gereageerd door af te stappen van macro-gebaseerde aanvallen.