Tientallen organisaties in de Oekraïne zijn slachtoffer geworden van malware die gesprekken kan afluisteren en documenten kan stelen. De malware wordt verspreid via Word-documenten met een kwaadaardige macro. Volgens het document moeten macro's worden ingeschakeld om de inhoud te kunnen weergeven. Zodra de gebruiker hier gehoor aan geeft wordt de malware geïnstalleerd.

Voor de installatie wordt er echter gecontroleerd of WireShark en ProcessExplorer draaien. Twee tools waarmee malware op een systeem is te vinden. Ook wordt er gekeken of de kwaadaardige code niet in een virtual machine draait. Is dit niet het geval, dan worden er aanvullende modules en plug-ins gedownload. Die zoeken op de computer en aangesloten usb-sticks naar Office-documenten, alsmede zip-, rar-, pdf-, txt- en db-bestanden.

Verder zoekt de malware ook naar wachtwoorden en andere gevoelige informatie in de browser en kan er audio van de microfoon worden opgenomen. "In tegenstelling tot video-opnames, die vaak eenvoudig zijn te voorkomen door de camera af te plakken, is het bijna onmogelijk om de microfoon te blokkeren zonder die fysiek uit te schakelen", zegt beveiligingsbedrijf CyberX.

Alle gevonden documenten en andere informatie worden vervolgens naar Dropbox geüpload. "Een slimme aanpak, aangezien Dropbox-verkeer meestal niet door zakelijke firewalls wordt geblokkeerd", aldus het bedrijf. Wie er achter de aanval zit laat CyberX niet weten, maar het bedrijf stelt dat het om een professionele campagne gaat, aangezien de achterliggende infrastructuur van de aanvallers dagelijks gigabytes aan data moet verwerken.

Alles bij de bron; Security