Volgens beveiligingsonderzoekers van Kaspersky Lab hebben aanvallers die vermoedelijk in Rusland wonen een Trojaans bestand verspreid via phishing-e-mails met schadelijke Microsoft Word-documenten.
Het kwaadaardige bestand is naar verluidt afkomstig van de tak van malwarecampagnes die in 2013 tegen Oekraïne zijn gelanceerd, en de trojan genaamd BlackEnergy zal worden uitgevoerd door een script in het kwaadaardige Word-document. Het zou voor nietsvermoedende gebruikers moeilijk zijn om de kwaadaardige aard van het document te detecteren, omdat het perfect de vorm aanneemt van een normaal Microsoft Word-document.
De BlackEnergy Trojan is ontworpen om informatie over uw computer naar een kwaadaardige command and control-server te sturen die door aanvallers wordt beheerd. Dit is echter niet de eerste keer dat hackers misbruik maken van een kwetsbaarheid in de Microsoft Office-suite. Vorig jaar maakten Russische hackers ook misbruik van Microsoft Excel- en Powerpoint-documenten om hun malwarecampagne te lanceren.
Net als eerdere exploits gericht op instellingen in Oekraïne, is de nieuwe Microsoft Word-malware gebruikt om een tv-station in het land aan te vallen met een hack. Beveiligingsonderzoekers vermoedden dat een medewerker of iemand binnen het tv-station werd verleid om te klikken op een document dat via een phishing-e-mail was verzonden. Het bijgevoegde bestand bevatte naar verluidt informatie over een politieke partij in Oekraïne als voorwendsel. In feite bevatte het document de BlackEnergy Trojan.
Onderzoekers die het Microsoft Word-document voor analyse hebben onderzocht, ontdekten dat de server die met het bestand communiceerde een beperkte IP-verbinding heeft, hoewel de opdracht en serververbinding zich in het verzoekveld bevinden. Dit verzoekveld bevatte de naam van een televisiestation in Kiev, dat Rusland in 2014 annexeerde. Ook vorig jaar zou het televisienetwerk het slachtoffer zijn geworden van aanvallen via de BlackEnergy Wiper.
Het is niet onmogelijk voor de BlackEnergy-groep om hun focus op Microsoft Word-documenten als aanvalsvector te veranderen, omdat ze zich in het verleden op Oekraïne hebben gericht met andere Microsoft Office-tools, aldus de onderzoekers.
Erger nog, in recente rapporten staat dat aanvallen die zijn gelanceerd via BlackEnergy-malware zich nu hebben verspreid over industriële controlesystemen in Oekraïne. De malware is sterk afhankelijk van een fout in Office 2013. Het is nu behoorlijk verouderd, dus we kunnen verwachten dat patches voor de fout eerder zijn uitgerold. Dat betekent dat machines die de fix niet hebben ontvangen, de malware op afstand kunnen uitvoeren.
Het Amerikaanse Industrial Control System Cyber Emergency Response Team meldde vorig jaar ook dat BlackEnergy bij verschillende bedrijven, waaronder Siemens, werd aangetroffen, wat wijst op een massale infectie van de malware.
