Nieuwe versleutelde downloader verwerft toegang via macro-aanvallen

Abonneer je gratis op Techzine!

Een nieuwe versleutelde downloader maakt misbruik van verouderde macro-aanvallen om zichzelf toegang te verschaffen tot apparaten van nietsvermoedende gebruikers. Daarmee blijft macro-malware, ondanks dat het ietwat verouderd lijkt te zijn ondertussen, nog altijd immens populair.

Onderzoek van McAfee Labs wees uit dat er in 2017 nog dik 1,2 miljoen macro-gerelateerde soorten malware actief waren. Maar ondanks dat organisaties zich hier in toenemende mate bewust van zijn, lijken de risico’s toe te nemen. Dat blijkt uit de IBM X-Force threat advisory van juni 2018.

Gerichte aanval

De nieuwe malware wordt GZipDE genoemd en bevat zogenaamd een recent rapport over de Shanghai Cooperation Organization (SCO)-conferentie die in Qingdao, China gehouden werd. Onderzoekers van AlienVault stellen dat de ontwikkelaars van de malware een deel van het rapport in een mail geplakt hebben, en de rest versleuteld hebben.

Als een geïnteresseerde vervolgens meer van het document wil inzien, moet die macro’s inschakelen om de rest te kunnen zien. Daardoor verlenen ze de aanvallers toegang tot hun apparaat en kan er gebruikgemaakt worden van achterdeurtjes in de apparaten. De aanval lijkt zeer gericht: “aangezien het document in het Engels geschreven is en vanuit Afghanistan online gezet, zal het vermoedelijk gericht zijn op iemand van een ambassade”, aldus Chris Doman, veiligheidsonderzoeker bij AlienVault tegenover Bleeping Computer.

Moeilijk te detecteren

De criminelen die de malware ontwikkeld hebben, maken gebruik van verschillende processen om ervoor te zorgen dat het risico op detectie van de malware minimaal is. Zo zorgt een versleutelde .NET-downloader dat antivirusprogramma’s weinig kans van slagen maken. Verder zit in het document zelf een PowerShell-script verborgen, waardoor aanvallen ook erg efficiënt zijn.

De payload bestaat verder uit een Metasploit-achterdeurtje en Meterpreter-tool die de mogelijkheid heeft om “informatie van het systeem” te verzamelen en vervolgens contact te leggen met de “command and control server, om verdere commando’s te ontvangen”. Daar de shellcode van de Metasploit de aanvallers ertoe in staat stelt hun DLL compleet in het werkgeheugen te draaien, hoeft er geen informatie op een harde schijf gezet te worden. Het resultaat daarvan is dat de aanval nog moeilijker te detecteren is.