Phishing-aanval loert op sysadmins

Malware nestelt zich via populaire automatiseringstool op computers.

Beheerders van systeemparken moeten komende tijd extra opletten. De securitytak van Cisco legt een gevaarlijke nieuwe aanvalsmethode bloot.

Trojan glipt binnen via AutoIT

De aanval vindt plaats via een Microsoft Word-document waarin een logo geplaatst is dat een macro bevat die een binary downloadt en uitvoert binnen AutoIT, die het script goedkeurt en gewoon doorlaat. Eenmaal besmet zit de beheerder opgescheept met een remote access trojan (RAT) waarmee aanvallers toegang kunnen krijgen tot de geïnfecteerde machine en de malware eenvoudig kunnen uitrollen naar de rest van het netwerk. Talos Group waarschuwt dat antivirussoftware de malware moeizaam opmerkt.

Talos noemt de manier waarop een legitieme beheertool een backdoor installeert uniek. "Deze aanval laat zien dat kwaadwillenden zich constant aanpassen om ervoor te zorgen dat hun aanvallen een grotere kans op succes hebben", schrijven de onderzoekers.

Kappen met macro's

AutoIT is nog niet geüpdatet om de aanval te kunnen weerstaan. Het devies is macro's binnen Word uitgeschakeld te laten staan (standaard sinds Office 2007) en antivirussoftware zo up-to-date mogelijk te houden.