Hackers manipuleren graag legitieme softwaretoepassingen en tools om hun kwaadaardige activiteiten uit te voeren, en Microsoft Word wordt het nieuwste programma dat door criminelen wordt gebruikt om bestandsversleutelende malware en/of trojans te verspreiden om geld van bedrijven te stelen.
Beveiligingsonderzoekers hebben een nieuw hackschema ontdekt waarbij ze een speciaal vervaardigd Word-document verhullen dat is ontwikkeld met de Microsoft Word Intruder-exploittool om het Word-ecosysteem binnen te dringen en een opening voor malware te creëren.
Zodra een gebruiker de bijlage in een e-mail opent, een typische aanvalsvector die wordt gebruikt door hackers, begint de malware de computer van het slachtoffer te infecteren. Beveiligingsexperts waarschuwen voor het openen van bijlagen in een e-mail die is verzonden door een onbekende persoon of organisatie die beweert te zijn, bijvoorbeeld een bekende liefdadigheids- of loterij- of financiële dienstverlener die u hun producten aanbiedt.
Meer specifiek is de aanval op Hawkeye gericht geweest op veel mensen, meestal werknemers van een bedrijf. Tot nu toe heeft de aanval honderdduizenden dollars gestolen van bedrijven. De malware werkt om computersystemen te laten crashen met niet-gepatchte problemen bij het ontwikkelen of kopen van een Word-document. Het Word-bestand bevat ook verschillende soorten virussen en het is aan de hacker welk type virus hij op het systeem van het slachtoffer installeert. Volgens de onderzoekers die het aanvalsplan ontdekten, bevat Hawkeye een keylogger.
Omdat het doelwit de bedrijfssector is, zouden hackers het kwaadaardige Word-bestand verspreiden onder verschillende werknemers van veel bedrijven, meestal degenen die op de financiële afdeling werken. Hackers geven in de ogenschijnlijk legitieme e-mail aan dat ze een offerteaanvraag of een bestelling verzenden. E-mails zoals deze zullen over het algemeen worden verwelkomd bij het vooruitzicht van een zakelijke deal.
De keylogger werkt door zichzelf te installeren wanneer de medewerker het Word-document opent, zonder medeweten van het slachtoffer. Na installatie volgt de keylogger de gebruikersnaam en het wachtwoord van de zakelijke e-mail van een werknemer en gebruikt de gestolen gegevens om in te loggen op het zakelijke e-mailaccount. Hackers zouden het voorrecht gebruiken om nog een e-mail naar een klant te sturen waarin wordt beweerd dat het bankrekeningnummer voor betaling is vervangen, wat in feite de bankrekening van de hackers is.
Volgens beveiligingsonderzoekers kan de uitbetaling voor dit type aanval oplopen tot meer dan $ 1 miljoen, dus hoewel er weinig incidenten zijn met een dergelijk schema, maakt de hoge uitbetaling het nog steeds een groot probleem. Nogmaals, de beste manier om dit tegen te gaan, is door geen ongevraagde e-mails te openen.
