Phishing-aanval laadt Quant Loader trojan om ransomware te verspreiden

Onderzoekers van Barracuda Networks waarschuwen voor een nieuwe e-mail phishing-campagne die de Quant Loader trojan downloadt en activeert. Cybercriminelen kunnen geïnfecteerde computers blokkeren met ransomware en wachtwoorden stelen.

Het gaat om e-mails met gecomprimeerde Microsoft-internetsnelkoppelingsbestanden met een .url-bestandsextensie. De afgelopen maand is de trojan via een phishingcampagne verspreid, waarbij de e-mail claimt dat het om een betaaldocument gaat. Wanneer een ontvanger het bestand opent, wordt er een script gedownload en infecteert de Quant Loader trojan het systeem. De eerste aanval werd opgemerkt na een reeks van aanvallen op e-mailaccounts begin maart. Sindsdien zijn nog twee andere aanvalsgolven ontdekt.

De onderzoekers van Baracuda noemen de geavanceerde aanpak verontrustend. In een interview met Threadpost vertelde Fleming Shi, Senior Vice President Advanced Technology Engineering van Barracuda, dat dit erop wijst dat cybercriminelen zich mogelijk voorbereiden op een volgende aanval.

Herken phishing

Ontvangers worden misleid om op de onbekende bestandsextensies in e-mails te klikken. Slachtoffers waren in de veronderstelling dat zij een rekening hadden ontvangen. In zijn bevindingen legt Barracuda uit hoe deze vorm van malware herkend kan worden. De e-mails zijn te herkennen aan een simpele onderwerpregel en bevatten in veel gevallen geen tekst.

De snelkoppelingsbestanden die Barracuda onderzoekt gebruiken een variatie op de CVE-2016-3353 proof-of-concept, met links naar JavaScript-bestanden en recentelijk ook Windows Script Files. Een ander kenmerk is dat de URL begint met ‘file://’ in plaats van ‘http://’. In plaats van de ontvanger naar een webpagina te verwijzen, opent die link nadat erop is geklikt een bestand dat draait binnen Samba. Dit opensourcesoftwarepakket zorgt ervoor dat gebruikers van een Windows-systeem toegang krijgen tot gedeelde bestanden en printers.

Quant Loader trojan

CVE-2016-3353 is gelinkt aan Microsoft Internet Explorer (versies 9 tot en met 11) en is door de National Vulnerability Database als zeer ernstig beoordeeld. Dit kwetsbaarheid gebruikt .url-bestanden, waarmee aanvallers op afstand toegangsbeperkingen kunnen omzeilen via een nagemaakt bestand, ook bekend als de ‘Internet Explorer Security Feature Bypass’.

Deze malware wordt gedownload via de Quant Leader trojan, die sinds 2016 op illegale online marktplaatsen verkrijgbaar is. Het werd al eerder gebruikt om de Locky Zepto crypto-ransomware en Pony-malware-familie te distribueren.