Microsoft Word App icon

Aanval via backdoor in malafide doc-bestanden

Laatst bijgewerkt: 28 januari 2019
Leestijd: 1 minuut, 4 seconden

Het securitybedrijf FireEye heeft ontdekt dat aanvallers momenteel een backdoor verspreiden door middel van malafide doc-bestanden. De backdoor wordt Zyklon genoemd. Gebruikers krijgen een e-mail met een zip-bestand in de bijlage. Als dat uitgepakt wordt zit daar een malafide doc-bestand in. FireEye denkt dat de aanvallen vooral gericht zijn op telecomproviders, verzekeringsmaatschappijen en andere financiële dienstverleners.

Gepatchte kwetsbaarheden

Het malafide doc-bestand maakt gebruik van twee kwetsbaarheden die in september en november 2017 ontdekt en gepatcht werden door Microsoft. Gebruikers met een gepatchte versie van Microsoft Office zijn dus beschermd tegen de malware. Als het doc-bestand geopend wordt met een ongepatchte versie van Office, wordt de backdoor geïnstalleerd op de computer. De malware maakt ook gebruik van de DDE-feature van Office. DDE staat voor Dynamic Data Exchange. Hiermee kan bijvoorbeeld een Excel-bestand geïnjecteerd worden in een Word-bestand en als het Excel-bestand bijgewerkt wordt is dat ook meteen zichtbaar in Word. Omdat deze functie vaker gebruikt werd door internetcriminelen is de feature door middel van updates uitgeschakeld in Excel en Word.

Zyklon-backdoor

Als de backdoor geinstalleerd is kan Zyklon op verschillende manieren het slachtoffer spioneren. Zo kan de backdoor wachtwoorden uit browsers, e-mail- en ftp-clients opslaan. Toetsaanslagen kunnen gevolgd worden en ook kan er via de backdoor meer malware op de computer geïnstalleerd worden.

Hoofdauteur:

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen

Op zoek naar een VPN?

Bekijk ons overzicht met de meest betrouwbare, snelle en veilige VPN-services.
Uitgebreid getest door experts.

Bekijk welke VPN het beste bij je past