'Via PowerPoint-bestanden verspreide trojan richt zich op Nederlandse bedrijven'

Beveiligingsbedrijf Trend Micro meldt dat het een malwarecampagne met PowerPoint-bestanden heeft ontdekt die zich richt op Europese landen, voornamelijk landen als Nederland, het VK en Polen. Infectie vindt plaats door met de muis boven een link in het bestand te zweven.

Het bedrijf schrijft dat het daardoor niet is vereist dat een gebruiker daadwerkelijk op een van de afbeeldingen of links in de tekst klikt. Normaal gesproken vindt infectie door kwaadaardige Office-bestanden plaats door gebruik van macro's, maar deze variant is een uitzondering. Gebruikers moeten wel eerst 'protected view' uitschakelen om kwetsbaar te zijn. Bovendien werkt de methode alleen op de desktopversie van PowerPoint en niet op de webversie, aldus Trend Micro.

De verspreiding vindt plaats door spamberichten met daarin kwaadaardige ppsx- of pps-bestanden, die zich voordoen als factuur of als bevestiging van een bestelling. Als de gebruiker de getoonde waarschuwing negeert nadat hij de muisaanwijzer over de inhoud heen heeft gehaald, wordt er een PowerShell-script uitgevoerd. Dat zorgt ervoor dat er een aparte downloader wordt binnengehaald, die op zijn beurt weer een payload van een command-and-control-server ophaalt. Daarbij gaat het om een banking-trojan, die bekendstaat als Otlard of Gootkit.

De getoonde beveiligingswaarschuwing

IT-banen

Reacties (65)

MrRobot

9 juni 2017 22:04

Het nieuwsbericht mist wat mij betreft nog een stukje namelijk hoe je dit kan voorkomen.
Is er een patch, is er een URL voor het c&c center?

Bierfustje @MrRobot • 9 juni 2017 22:47

Voorkomen:
1. Zet de standaard beveiliging niet uit
2. Negeer de veiligheidswaarschuwing niet
3. Draai niet als Admin een basaal iets als office applicaties

jvo @Bierfustje • 9 juni 2017 23:28

0. Geloof niet dat een factuur in powerpoint formaat wordt gestuurd

bbc @jvo • 10 juni 2017 03:14

Geloof niet dat een gebruiker applicatie extensies standaard ziet, dan wel op het icoontje let.

SuperDre @bbc • 10 juni 2017 09:33

Juist ja, want op de meeste ossen staat tonen van extenties standaard uit

Ventieldopje @SuperDre • 10 juni 2017 12:07

Op Windows wel

sjepper @Ventieldopje • 10 juni 2017 14:57

Osx anders deels ook.

SuperDre @Ventieldopje • 10 juni 2017 17:39

Juist, en zelf vind ik dat altijd zeer irritant, want dan zie ik niet meteen om wat voor bestand het werkelijk draait.

Anoniem: 312486 @jvo • 10 juni 2017 01:25

Dit dacht ik dus ook, sinds wanneer sturen bedrijven hun facturen in powerpoint formaat?

Misschien om de pijn te verzachten van een te hoge factuur gooien ze er een leuke powerpoint presentatie bij hahaha!

1nsane @Anoniem: 312486 • 10 juni 2017 15:28

Precies, zo denken jij en ik, maar de gemiddelde "Henk en Greet" misschien niet.

RobbyTown

@jvo • 10 juni 2017 21:53

Jaja daar trappen mensen dus vol in.

Lege mail, bijlage in zip, vage afzender, in de zip doc file of pdf die opent men want ja het kan mogelijk een offerte zijn.

Anoniem: 288121 @Bierfustje • 9 juni 2017 23:00

3. Draai niet als Admin een basaal iets als office applicaties

En als je een Windows en Office versie hebt die gekoppeld is aan een Microsoft Account?

Luminai @Anoniem: 288121 • 9 juni 2017 23:18

Dan hoef je hem nog steeds niet als admin te draaien. Werkt prima als normale user.

Anoniem: 288121 @Luminai • 9 juni 2017 23:31

Nu zeg jij mij ook weer iets, na installatie was ik lid van de gebruikers- en administratorgroep. Misschien moet ik me ook maar weer toevoegen aan de gebruikersgroep, maar daar staat dus ook het Interactief-account en geverifieerde gebruiker-account.

Dus niet, je kunt geen gebruiker en administrator zijn of wel, en dan ga ik dus de mist in met m'n Windows Phone, want daar kan ik alleen gebruiker zijn, en ik heb ook geen zwervend profiel, want dat wordt te groot om te laden op mijn telefoon.

Ik weet het niet.

[Reactie gewijzigd door Anoniem: 288121 op 22 juli 2024 16:56]

massareal @Anoniem: 288121 • 10 juni 2017 01:51

je kan in via de cmd; control userpasswords2
in de accountconfiguratie komen en dan moet je 1 account aanmaken voor je admin gebeuren en 1 account als gebruiker voor je dagelijkse shite, wil je het (redelijk) dicht timmeren

citegrene @MrRobot • 9 juni 2017 22:15

Uit de bron bij trendmicro
Related C&C domains:

hxxp://cccn[.]nl/c[.]php
hxxp://cccn[.]nl/2[.]2
hxxp://basisinkomen[.]nl/a[.]php
IP Addresses and URLs related to the compromised websites used as C&C server and for sending spam emails:

hxxp://netart[.]pl
hxxp://chnet[.]se
77[.]55[.]8[.]61
85[.]128[.]212[.]154
91[.]211[.]2[.]112

/edit
Wat ik alleen niet helemaal snap, is via SIDN kom je vrij snel achter wie de eigenaar is...

[Reactie gewijzigd door citegrene op 22 juli 2024 16:56]

anboni @citegrene • 9 juni 2017 22:44

Wat ik alleen niet helemaal snap, is via SIDN kom je vrij snel achter wie de eigenaar is...

Helaas. Via SIDN kom je vrij snel achter de gegevens die de registrant heeft opgegeven. Afhankelijk van de gebruikte registrar hoeven die gegevens niet echt te zijn. Ja, de voorwaarden van de SIDN zeggen dat ze echt moeten zijn en een dergelijk domain zal dus ook vrij snel in quarantaine worden gezet, maar het kwaad is dan al geschied.

Cave_Boy @citegrene • 10 juni 2017 07:46

Bedankt. Op pihole deze op de bloklijst gezet.

Gomez12 @citegrene • 10 juni 2017 09:08

Alleen heeft SIDN niets te zeggen over .pl domeinnamen of .se domeinnamen of simpelweg ip-adressen.

Oftewel SIDN is hier geen partij in. Het is maar net de vraag of je je in polen wel moet registreren met officiele goede gegevens.

Dutchredgaming @MrRobot • 10 juni 2017 12:15

Open geen mails waarbij je de verzender een onbekende is.

mikesmit 9 juni 2017 21:23

Een powerpoint bestand die zich voordoet als factuur. Zijn mensen echt zo naïef? Dat valt toch gelijk op dat er iets niet in de haak is.

lordfragger @mikesmit • 9 juni 2017 21:26

Dat, en die grote waarschuwing dat het bestand iets wil uitvoeren bewust negeren.

Helaas zullen er wel weer genoeg gebruikers in trappen. Eentje in een bedrijf is natuurlijk al genoeg om een serieuze impact te hebben.

HKLM_ @lordfragger • 9 juni 2017 21:31

Als je je users scripts laat uitvoeren zonder admin rechten dan doe je denk ik iets niet helemaal goed als it afdeling.

Jaja zat mensen die local admin zijn op hun systeem binnen het bedrijf.

Anoniem: 420148 @HKLM_ • 9 juni 2017 23:07

Met alle respect, ik denk dat je wellicht een stukje real-life ervaring mist in het segment bedrijfsnetwerken/softwarecultuur. Ik weet niet voor welk bedrijf je werkt in welke capaciteit, maar genoeg bedrijven waar je als ITer/beheerder niet zomaar even het beleid uitmaakt.

Ik ben erg vaak tegen zaken aangelopen waar je geforceerd bent om rotpraktijken toe te laten. Met oudere Java versie online. Ik zie je ogen al rollen. Maar dan verbied je dat toch/dat installeer je toch niet?

Helaas. De klant laat alleen uploads van documenten toe via deze oude webapplicatie van ze. Hoe ze nog niet gehackt zijn, dat snap je eigenlijk niet, maar het enige wat je wel weet is dat als ze de documenten niet op tijd, via hun methode krijgen, ze naar een ander gaan en daar hun miljoenen wel uitgeven (dit was in de bedrijfstak van de medische wereld) en als jij daar dan de schuld van bent, dat de hoofden van bepaalde afdelingen niets van je heel laten.

Zo dus ook met hele structuren die afdelingen zelf hebben opgebouwd in Excel, met macro's, oude apps van partijen die nu al failliet zijn, HR-software die local admin vereist om NFC/RFID badges te bewerken/printen en andere rommel. Zo snel vervang je dat allemaal niet zonder een hele afdeling lam te leggen en je bedrijf tienduizenden euro's te kosten. Die keuze ligt 9/10 keer niet bij de IT-afdeling, want de meesten zouden er inderdaad met de botte bijl doorheen hakken en alles het liefst de deur uit mikken.

[Reactie gewijzigd door Anoniem: 420148 op 22 juli 2024 16:56]

Accretion @HKLM_ • 9 juni 2017 21:40

Hoe doe je dat als mensen apparaten van thuis mee nemen?

theduke1989 @Accretion • 9 juni 2017 22:22

Jij laat mensen toe op je Domain als ze van huis komen?

Enige wat ik ze toe laat is de networkboot. Want er zijn genoeg medewerkers die ook een frisse Windows installatie willen hebben en wij teveel licenties hebben dus voor ze installeren.

Daarna gaat die gewoon het gasten netwerk op.

Anoniem: 90732 @theduke1989 • 10 juni 2017 02:23

En hoe kpmen ze dan bij hun bedrijf gegevens en werk mappen? Via samba? Via rdp? Of lopen ze met usb stickies rond om files te delen? Of werken ze niet samen! Dat kan natuurlijk ook.

theduke1989 @Anoniem: 90732 • 10 juni 2017 05:11

Nja werkgerelateerde bestanden komen op de werk laptop etcetc en niet ergens anders. Je laat je werknemers toch niet op hun eigen thuis laptop computer bedrijfsgegevens overdragen

Op je werklaptop etcetc heb je natuurlijk een image met veiligheidsmaatregelen neem ik aan. VPN / RDP / DMZ Verbindung. Veel bedrijven gaan langzamer ✋ over op Citrix etcetc..

Anoniem: 90732 @theduke1989 • 10 juni 2017 05:48

Vaak hebben bedrijven nu bring your own device. En dat is dus hun eigen prive laptop.

[Reactie gewijzigd door Anoniem: 90732 op 22 juli 2024 16:56]

m-vw @Anoniem: 90732 • 10 juni 2017 11:09

Wat is vaak? Ik ken geen enkel bedrijf dat aan byod doet. Misschien gebeurt dit vaker dan gemiddeld in de it-sector.

Zit zelf overigens niet in de it.

[Reactie gewijzigd door m-vw op 22 juli 2024 16:56]

Anoniem: 145867 @theduke1989 • 10 juni 2017 11:12

Wij gaan gelukkig over van Citrix naar een fatsoenlijke VPN. Gatver wat is dat Citrix 3x niks waardeloos. Dat is werken als een verlamd persoon.

theduke1989 @Anoniem: 145867 • 10 juni 2017 16:22

Citrix met Safenet tokens

en Sharefile is een uitermate goed systeem

die je zelf goed kan beheren in de AD (via RBAC) ach ja, het is hoe je het wilt beveiligen binnen jou infrastructuur! Bij ons wordt er contant naar verbeteringen gezocht en dit is er wel eentje! BYOD is overigens tot nu toe waar ik heb gewerkt nooit gebruikt. Altijd is het apparatuur van de zaak

logisch ook want dat is apparatuur van €1000,- daar wilt iedereen op. En als ze het meenemen is het toch echt alleen via het gasten netwerk omdat er toch geen VPN - lijn naar de servers wordt getrokken via het gastennetwerk...

HKLM_ @Accretion • 9 juni 2017 21:42

Mag hopen dat de apparatuur van thuis niet in het domain zit en in een anders vlan zit qua netwerk acces.

RGAT @HKLM_ • 10 juni 2017 00:30

Maar alsnog op een manier toegang heeft tot bedrijfsgegevens, of die nou lokaal of op een share staan (of via een VPN met RDP waar de gebruiker zo handig was om de shares te mappen in zijn eigen laptop...)
Been there, had to fix that...

lordfragger @HKLM_ • 9 juni 2017 21:43

Probeer dat maar eens volledig te blokkeren. Halve bedrijven draaien (nog steeds) op macros en vba in office bestanden, zelfs in grote ondernemingen.

Geen idee of office het toelaat om externe scripts uit te schakelen zodat een normale gebruiker het niet kan activeren, maar dat zal in heel wat bedrijven niet geblokkeerd zijn. Ofwel omdat men er nooit aan gedacht heeft, ofwel omdat het voor een of andere applicatie nodig is.

Noem 1 exotische feature met (beveiligings)problemen en er bestaat wel een businesstoepassing die het gebruikt. Dan is het altijd een afweging maken, en als het teveel kost om een alternatief te zoeken zal die feature in de meeste bedrijven snel geactiveerd zijn.

SkyStreaker @lordfragger • 10 juni 2017 13:10

Ik werk voor een wereldmarktleider. Half mijn werk bestaat uit gebruik van macro's, VBA en JAVA om alles te kunnen bewerkstelligen wat ik doe qua productie.

.... en we gebruiken McAfee

[Reactie gewijzigd door SkyStreaker op 22 juli 2024 16:56]

Kiragi @mikesmit • 9 juni 2017 21:26

Veel mensen kijken niet eens goed naar een file-extension, en als ze dat wel doen, dan bestaat de kans ook nog dat .pdf genoeg op .ppt lijkt om het aan te klikken.

Het is voor ons tweakers wellicht vanzelfsprekend, maar ik kan me niet voorstellen dat zelfs na al die jaren waarschuwen het nog niet volledig doorgedrongen is aan de gebruikers om iets wat je niet vertrouwd, weg te gooien. Of bij twijfel, in ieder geval een ICT-kundig iemand er bij halen. Maar vaak,When in doubt, its probably fraud.

Raverty @Kiragi • 9 juni 2017 21:35

Ik zit bij een organisatie waar we dit gelukkig aardig bij de gebruikers er in hebben gestampt om dit soort dingen niet te openen of als ze het niet vertrouwen het mailtje door ons te laten controleren en dan wijzen we meteen wat er niet aan zoiets klopt. En als ze wel op de link klikken zonder aan de IT afdeling te vragen dan triggert onze firewall omdat het IP of de DNS verwijzing naar een kwaadaardige link gaat. Ook hebben we natuurlijk nog een virusscanner draaien die op dit soort dingen afgaat.

RGAT @Kiragi • 10 juni 2017 00:34

Vaak zijn gebruikers handig genoeg om iemand die 'IT kundig' is aan te spreken maar hebben ze zelf geen idee en geen manier om dat te toetsen

Dus die collega die vorige week een mooie spreadsheet met macros heeft gemaakt wordt gevraagd want die weet het wel.........

Dykam @mikesmit • 9 juni 2017 21:25

Net zo naïef als beveiligde modus uitzetten op een onbekend document. Ja.

mikesmit @Dykam • 9 juni 2017 21:27

Dat is waar ook, was heel die beveiligingslaag al vergeten.

Ik ga even een paar facturen presenteren! Aju

rjong5 @mikesmit • 9 juni 2017 21:27

Een powerpoint bestand die zich voordoet als factuur. Zijn mensen echt zo naïef? Dat valt toch gelijk op dat er iets niet in de haak is.

Je wilt niet weten hoeveel mensen zo naïef zijn😕

cracking cloud @mikesmit • 9 juni 2017 21:51

Er komen ook genoeg 'facturen' binnen met een zip extensie.

lepel @mikesmit • 9 juni 2017 22:02

Vergis je niet in de stommiteiten van mensen die geen verstand hebben van technologie. Mijn baas had iets aan de hand met KPN over een foute factuur, en toevallig kreeg hij net in zijn spam toen een email met een gelinkte "factuur" van KPN. Hij op de link geklikt, Outlook blokkeerde het. Hij dat uitgezet en alsnog geklikt, want ja, social engineering. Hoppakee, ransomware infectie op het werk.

[Reactie gewijzigd door lepel op 22 juli 2024 16:56]

fantafriday @mikesmit • 9 juni 2017 22:08

Pdf.exe doen ze ook dus verbaast mij niks.

HKLM_ 9 juni 2017 21:26

Een powershell script openen op een cliënt computer. Waren daar geen admin permissies voor nodig ? Tevens hoop ik dat bedrijven hun omgeving zo hebben ingericht dat users sowieso geen scripts zonder admin rechten mogen uitvoeren. Lijkt mij dat er dan dus niet zoveel aan de hand is toch ?

Behalve als de User local admin op zijn systeem is natuurlijk...

Edit: dit is volgens mij de Execution Policy welke op Windows 10 sowieso op Restricted als default staat. Hele script draaien zal dus worden tegengehouden. Tenzij je dit bij de stellingen heb uitgeschakeld of via een gpo op organisatie niveau

[Reactie gewijzigd door HKLM_ op 22 juli 2024 16:56]

ASS-Ware @HKLM_ • 10 juni 2017 02:41

Een powershell script openen op een cliënt computer. Waren daar geen admin permissies voor nodig ?

Het gaat over Powerpoint, niet powershell.

Gé Brander @ASS-Ware • 10 juni 2017 07:34

Het gaat om een Powershell script dat in een PowerPoint bestand aangeboden wordt.

Anoniem: 1322 @HKLM_ • 9 juni 2017 21:40

Powershell scripts hebben uiteraard geen admin rechten nodig tenzij je admin acties uitvoerd. Daar geeft powershell (of tevens cmd) je access denied. Daarnaast moet je voor internet scripts "remote signing" aan zetten wat niet zonder admin rechten kan...

De basis is dus wel redelijk voor elkaar echter zal deze trojan zich waarschijnlijk gewoon nestelen in de user-space. Daarna kun je genoeg acties uithalen om alsnog admin rechten toe te eigenen.

thanx @HKLM_ • 9 juni 2017 21:52

Powershell policy is eenvoudig te omzeilen. Minstens 10 bekende alternatieven. Dat is voor een goede ontwikkelaar echt geen blokkade 😪

MrHankey @HKLM_ • 9 juni 2017 22:45

Tevens hoop ik dat bedrijven hun omgeving zo hebben ingericht dat users sowieso geen scripts zonder admin rechten mogen uitvoeren.

goed punt maar op de IT afdeling waat dit ook weer onwenselijk is kan een naieve stagair het toch gewoon openen?

Lick_A_Brick 10 juni 2017 00:27

In deze video wordt het één en ander uitgelegd over de werking van deze infectie methode.

DrakeNL @Lick_A_Brick • 10 juni 2017 09:29

Mmm even hoveren om te kijken waar de link naar toe gaat.

Oerdond3r @Cyb • 10 juni 2017 02:16

Als je het mij vraagt hadden ze dit soort functionaliteiten nooit moeten toevoegen ( externe programma's vanaf een link hover uitvoeren, überhaupt geen mogelijkheid inbouwen om externe programma's te openen ). Dit gaat naar mijn mening compleet buiten de scope van een Office Pakket.

Maar ja, mensen gebruiken Office vaak, worden goed in Office, en gaan steeds meer van Office vragen, en Microsoft levert.

Vervolgens hebben ze zoiets bedacht als Protected View, zodat mensen eerst bedenken of ze dit willen uitvoeren of dat het van een onbekende bron komt en gestopt moet worden adhv een pop-up.. Als we een ding geleerd hebben van pop-ups als die, is dat de gemiddelde gebruiker dit obstakel zo snel mogelijk weg klikt, als het in de weg staat van een actie die ze zojuist wouden uitvoeren. Zo vaak naast mensen gezeten die pop-ups instinctief wegklikken zonder ook maar een woord te lezen.

Anoniem: 288121 @Oerdond3r • 10 juni 2017 03:05

Kun je wel zeggen. Begon met Active Desktop in '98 se. Maar als je naar dat filmpje kijkt wat Lick aanhaalt is het gewoon een ODF-bestand, en ActiveX staat idd vooraan in de code, en wat verderop na 7min alleen maar doc, xls, ppt, rtf, txt, raw, nrw (Duitsland?), 3fr (France 3), geen docx enz... OLE OLE OLE.

[Reactie gewijzigd door Anoniem: 288121 op 22 juli 2024 16:56]

Bitmaster 9 juni 2017 21:36

Ga met de muis naar de rechterbovenhoek...

masternick13 @Bitmaster • 10 juni 2017 10:35

klik weg, hang op, bel uw bank!

Anoniem: 288121 9 juni 2017 22:36

Volgens mij heet dat ActiveX, heb ik ook een keer meegemaakt toen ik ernaar aan 't kijken was, een puntje in beeld, en het was geen dooie pixel.
Dus het bestand kan de extensie hebben van een PowerPoint bestand, maar dat hoeft het niet te zijn.

[Reactie gewijzigd door Anoniem: 288121 op 22 juli 2024 16:56]

A87 10 juni 2017 20:25

Nog ff en je kan stoppen met dat hele email, er komt zo idioot veel zooi binnen. Zelfs emails met ''KLIK HIER OM JE UIT TE SCHRIJVEN VAN NIEUWSBRIEF' malware

Xaphod 11 juni 2017 06:58

Weet iemand of LibreOffice / Openoffice ook kwetsbaar hiervoor is?

Y-L-G 11 juni 2017 12:23

Hoe zit het met de gebruikers die geen Office gebruiken maar bijvoorbeeld LibreOffice of OpenOffice?
Zijn die net zo kwetsbaar?

roller12358 @Y-L-G • 11 juni 2017 15:21

Ik denk het niet maar ik heb het niet zelf een import uit powerpoint getest. Ik kan in Libreoffice Impress in ieder geval niet zelf een OnMouseOver actie aanmaken.

Op de wiki van Openoffice vond ik dit:
"PowerPoint provides action settings for mouseover, but Impress does not have this option, only on mouse click, so mouseovers get mapped to mouse clicks. PowerPoint has an option for highlighting the object on mouse click or mouse over; Impress does not have this, so it gets ignored on import. "

bron

Op dit item kan niet meer gereageerd worden.

'Via PowerPoint-bestanden verspreide trojan richt zich op Nederlandse bedrijven'

Lees meer

IT-banen

Reacties (65)

Sorteer op:

Weergave: