Nieuwe macro downloaders gebruiken PUB-bestanden om retailers aan te vallen

Onderzoekers van Trend Micro stellen dat nieuwe macro downloaders Microsoft Publisher (PUB) bestanden en spammails gebruiken om het netwerk van bedrijven in de voedsel- en retail-sectoren te hacken.

Vorige maand kregen ruim 50 bedrijven uit die sectoren te maken met de campagne. Het gaat onder meer om Starbucks en Harris Teeter. Ook detecteerde Trend Micro aanvallen tegen het Amerikaanse ministerie van landbouw en de financiële sector.

Het gebruik van PUB-bestanden onderscheidt deze vorm van hacken van anderen. PUB-bestanden worden meestal niet geassocieerd met macro-malware. Samen met sociaal ge-engineerde spammails van “operations teams” lijken de PUB-facturen legitiem te zijn. Nadat ze geopend worden, komen ze met malafide Microsoft Installer (MSI) bestanden die contact zoeken met de command-and-control (C&C) servers om remote access trojans te installeren.

Groot risico

Omdat PUB-bestanden weinig gebruikt worden bij macro-downloaders en MSI-bestanden ook ingezet worden voor legitieme installaties, blijven infecties mogelijk lang onopgemerkt door gebruikers en standaard anti-malware-tools. Daarnaast zitten de bedrijven in de voedsel- en retail-sectoren in het drukste kwartaal van het jaar, waardoor de kans groter is dat ze het slachtoffer worden van spam.

Het gebruik van PUB-bestanden door de cybercriminelen vergroot dit risico, omdat werknemers de bestanden mogelijk niet zien als potentiële dreigingen. De geïnstalleerde trojans kunnen vervolgens gemakkelijk verborgen worden totdat de aanvallers klaar zijn om aan te vallen of om nieuwe malware te downloaden.

Verder voorkomt de campagne dat het opgemerkt wordt, door het downloaden van het MSI-bestand in te plannen in plaats van het direct te downloaden als de PUB-bestanden geopend worden. De uiteindelijk geïnstalleerde trojans kunnen klantdata gaan stelen of binnendringen in zakelijke netwerken.