Type virus: malware/advanced persistent threat (APT)
De nieuwste virusdreiging, 'Darkhotel', is geanalyseerd door het Global Research and Analysis Team van Kaspersky Lab. De Darkhotel-dreiging lijkt een combinatie van spear phishing en gevaarlijke malware die ontworpen is om vertrouwelijke gegevens te stelen.
De cybercriminelen achter Darkhotel zijn al bijna tien jaar actief en hebben wereldwijd duizenden slachtoffers gemaakt. 90% van de Darkhotel-infecties hebben we waargenomen in Japan, Taiwan, China, Rusland en Zuid-Korea, maar we hebben ook besmettingen in Duitsland, de VS, Indonesië, India en Ierland gezien
Deze campagne heeft als bijzonderheid dat er verschillende gradaties van schadelijke aanvallen worden ingezet.
Aan de ene kant gebruikt Darkhotel phishing-e-mails om te infiltreren in defensiegerelateerde industrie, overheden, NGO's, grote elektronica- en randapparatuurfabrikanten, farmaceutische bedrijven, medische zorgverleners, militaire organisaties en energiebeleidsmakers. De aanvallen hebben het typische verloop van een spear-phishingaanval met grondig gecamoufleerde Darkhotel-implantaten. E-mailinhoud die gebruikt wordt als lokaas heeft vaak onderwerpen als nucleaire energie en bewapening. In de afgelopen paar jaar hebben we spear-phishingmails gezien met Adobe-zero-day-dreigingen in de bijlage of links die de browsers van slachtoffers doorsturen naar Internet Explorer-zero-day-dreigingen. Hun doel is het stelen van gegevens van deze organisaties.
Aan de andere kant verspreidt Darkhotel lukraak malware via Japanse peer-to-peer-sites en sites voor bestandsuitwisseling. De malware wordt geleverd als onderdeel van een groot RAR-archief dat pretendeert seksuele content te bieden, maar eigenlijk een backdoor Trojan installeert die vertrouwelijke gegevens van het slachtoffer verzamelt.
In een aanpak die ergens tussen deze twee inligt, valt Darkhotel nietsvermoedende internationale zakenreizigers aan die in een hotel verblijven. De computers van de slachtoffers worden geïnfecteerd met een zeldzame trojan die vermomd is als een belangrijke softwarerelease, bijvoorbeeld voor Google Toolbar, Adobe Flash of Windows Messenger. Deze eerste fase van de infectie wordt door de aanvallers gebruikt om vast te stellen welke slachtoffers voor hun interessant zijn en vervolgens nog meer malware op de computers te zetten. Deze malware is ontworpen om vertrouwelijke gegevens te stelen vanaf de computers van slachtoffers.
Op basis van een string in de schadelijke code is vastgesteld dat de dreiging waarschijnlijk afkomstig is van een hacker in Zuid-Korea.
Hoe technisch geavanceerd veel gerichte aanvallen ook zijn, ze beginnen doorgaans met het om de tuin leiden van individuele medewerkers door ze iets te laten doen dat de bedrijfsveiligheid in gevaar brengt. Medewerkers met publieksgerichte taken (bijvoorbeeld senior executives, verkoop- en marketingmedewerkers) kunnen vooral kwetsbaar zijn, zeker omdat zij vaak onderweg zijn en waarschijnlijk gebruik zullen maken van onveilige netwerken (bijv. in hotels) om contact te maken met het bedrijfsnetwerk.
Hoewel totale preventie lastig is, vind je hier enkele tips over hoe je je computer beschermt wanneer je op reis bent.
1. Als je van plan bent om openbare of semi-openbare wifi te gebruiken, moet je alleen vertrouwde VPN-tunnels gebruiken
2. Leer te begrijpen hoe een spear-phishingaanval werkt
3. Onderhoud alle systeemsoftware en voer regelmatig updates uit
4. Controleer uitvoerbare bestanden altijd en wees voorzichtig met bestanden die gedeeld worden via peer-to-peer-netwerken
5. Probeer als je op reis bent zo min mogelijk software-updates uit te voeren
6. Installeer hoogwaardige software voor internetbeveiliging: zorg ervoor dat deze proactieve bescherming tegen nieuwe dreigingen biedt in plaats van standaard anti-virusbeveiliging