Angreb bruger Dropbox og Wordpress

Artiklen blev oprindeligt publiceret den 4/9/2013

Angribere udnytter tjenester som Dropbox og Wordpress til at inficere pc'er og sende kommandoer til botnet. Det gør det sværere at opdage angrebstrafikken.

Målrettede angreb med phishing er begyndt at udnytte sociale netværk og andre udbredte tjenester. Det giver angriberne den fordel, at beskederne kan drukne i strømmen af almindelige statusopdateringer og filudvekslinger.

Sikkerhedsfirmaet Cyber Squared beskriver et angreb, hvor ofrene modtog en mail, der angav at handle om forholdet mellem USA og ASEAN-landene. Mailen kom fra Dropbox, idet dokumentet var blevet delt via angribernes konto på tjenesten.

Hvis man hentede dokumentet og åbnede det, forsøgte det at udnytte en kendt sårbarhed i Word. Hvis der var en sårbar Word på offerets pc, blev den inficeret.

Det skadelige program der blev installeret, kontaktede herefter en blog på Wordpress.com. Bloggen indeholder øjensynligt indlæg om Asiens økonomi. Men i hvert indlæg optræder nogle tal omgivet af tegn som @ eller #.

Tallene er kommandoer til det skadelige program. De fortæller, hvilken IP-adresse programmet skal hente yderligere programmer eller kommandoer fra.

Cyber Squared konkluderer, at bagmændene anvender tjenester som Dropbox og Wordpress for at skjule angreb. Det er vanskeligt for sikkerhedsansvarlige at bekæmpe den type angreb, fordi de sjældent kan blokere for al trafik til Dropbox eller Wordpress.

Der er set lignende angreb, hvor kommunikationen går over beskeder på Twitter.

Anbefaling
Sikkerhedsansvarlige bør evaluere metoder til at opdage angreb, der skjuler sig i trafikken til legitime tjenester.

Links