Momentopname van IE Download Manager waarin de gebruiker wordt gevraagd het uitvoerbare bestand uit te voeren of op te slaan
Een nieuwe methode om malware te verspreiden via de online video-feature van Microsoft Office die onlangs bekend werd gemaakt wordt nu al door criminelen in de praktijk toegepast. Office biedt de mogelijkheid om online video's in een document te embedden. Hierbij wordt er in het document een video van een online locatie geladen, bijvoorbeeld YouTube.
Bij de nu waargenomen aanvallen linken de aanvallers niet naar de locatie van een video, maar naar een bestand, zo waarschuwt anti-virusbedrijf Trend Micro. De Protected View-beveiliging van Office voorkomt dat gebruikers meteen op de embedded online video kunnen klikken. Eerst moet de optie "Enable Editing" worden ingeschakeld. Iets dat de aanvallers ook in het document aan de gebruiker vragen. Wanneer de gebruiker dit heeft gedaan en op de zogenaamde video in het document klikt wordt er direct malware gedownload. Gebruikers krijgen nog wel de vraag of ze het gedownloade bestand, dat zich voordoet als Adobe Flash Player, willen openen of opslaan.
Onderzoekers maakten de aanvalsvector eind oktober bekend. Volgens Microsoft werkt de feature naar behoren en gaat het hier dan ook niet om een kwetsbaarheid. Nu twee weken na de openbaarmaking van de aanvalsvector zijn de eerste echte aanvallen waargenomen waarmee de Ursnif-malware wordt verspreid. Deze malware steelt wachtwoorden, private keys, cookies, certificaten en gegevens voor internetbankieren.
Gebruikers en organisaties die zich tegen dergelijke aanvallen willen beschermen kunnen Word-documenten blokkeren die over de embeddedHtml-tag beschikken of documenten met embedded video blokkeren. "Aangezien deze ogenschijnlijk nieuwe techniek alleen een aangepaste url vereist, kan het gebruikers en bedrijven aan allerlei malware en andere dreigingen blootstellen", zegt onderzoeker Michael Villanueva.
Reactie plaatsen
Reacties