Fancy Bear, de hackersgroep die volgens onderzoekers banden heeft met de Russische regering, maakt actief gebruik van een nieuwe techniek waarmee aanvallers computers kunnen infecteren middels Microsoft Office documenten. De groep maakte misbruik van de functie Dynamic Data Exchange (DDE).
Fancy Bear is volgens Ars Technica een van de twee hackersgroepen die steun zou ontvangen van de Russische overheid. Naar het schijnt hadden zij te maken met een hack van de netwerken van de Amerikaanse Democratische partij. Recent werden ze betrapt op het verzenden van een document dat code uitvoert dat in een ander document staat en applicaties toestaat updates te versturen als nieuwe gegevens beschikbaar worden gemaakt.
Misbruik van DDE
Onderzoekers van Trend Micro schrijven dat Fancy Bear een specifiek document rondstuurde. Dat heet IsisAttackInNewYork.docx en, zodra geopend, verbinding maakt met een controleserver. Zodra die verbinding gemaakt is, downloadt het een stukje malware dat Seduploader heet, en installeert het die malware.
DDE vindt plaats op het moment dat een document refereert naar andere bestanden. Microsoft Office vraagt in zo’n geval om toestemming het document te updaten met gegevens uit de aangekoppelde bestanden. Indien de gebruiker daar toestemming voor geeft, wordt er automatisch malware gedownload.
Advies Microsoft
Microsoft schreef naar aanleiding van het bericht van Trend Micro een blog waarin het uitlegt wat je het beste kunt doen om te voorkomen dat de malware geïnstalleerd wordt. Het raadt de onervaren gebruiker aan om bij meldingen die verdacht overkomen of simpelweg onbekend zijn, niet op ‘ja’ te klikken.
Verder geeft Microsoft voor de technisch geavanceerdere gebruiker enkele specifieke tips en richtlijnen om te voorkomen dat bestanden automatisch data uit andere bestanden ophalen. Daarvoor moeten enkele veranderingen in het Windows-register aangebracht worden.
11 uur geleden
