Een nieuwe hackersaanval maakt misbruik van oude kwetsbaarheden in Microsoft Office, om zo een achterdeur te creëren in Windows-systemen. Op die manier verschaffen hackers zichzelf toegang tot bestanden en kunnen ze de gebruikers van de apparaten bespioneren. Het gaat om de Felixroot-hackersaanval, die gebruik maakt van vorig jaar gepatchte kwetsbaarheden.

Felixroot is malware die zich vooral richt op individuen in Oekraïne, en werkt via een phishing-mail. Die mail zou informatie bevatten omtrent een seminar rond milieubescherming. Dat de informatie zo specifiek is, wijst erop dat het gaat om een gerichte aanval. Opvallend is dat de mail geschreven is in het Russisch en claimt afkomstig te zijn uit Kazachstan.

Downloaden en uitvoeren code

De aanval werd volgens de site ZDNet blootgelegd door onderzoekers van veiligheidsbureau FireEye. Deze onderzoekers wisten vorig jaar een soortgelijke malware-aanval te detecteren, die gebruik maakt van twee kwetsbaarheden in Microsoft Office: CVE-2017-0199 en CVE-2017-1882.

De eerste kwetsbaarheid stelt aanvallers ertoe in staat om een Visual Basic-script te downloaden en dat uit te voeren. In dat script zitten PowerShell-commando’s, die uitgevoerd worden zodra een gebruiker een document opent met de exploit daarin. De 1881-kwetsbaarheid stelt aanvallers ertoe in staat willekeurige code uit te voeren en potentieel een compleet systeem over te nemen.

Achterdeur maken

Bij deze nieuwe aanval maken de exploits gebruik van de Felixroot-malware om een achterdeur in geïnfecteerde systemen te bouwen. Vervolgens kunnen, zonder dat de gebruiker van een Windows-apparaat dat doorheeft – bestanden geopend en gedownload worden. Een heel systeem kan op die manier bespied worden.

Volgens onderzoeker Swapnil Patil van FireEye stelt de architectuur van Felixroot de aanvallers ertoe in staat om bestanden te downloaden en te uploaden. Zodra Felixroot daar klaar mee is, worden alle bestanden en processen verwijderd, zodat er geen sporen van een aanval te vinden zijn.

Enkel mensen die hun systeem niet van de nieuwste software voorzien hebben, zijn kwetsbaar. CVE-2017-0199 en CVE-2017-1882 zijn immers al enige tijd bekend en gedicht door Microsoft.