Cybercrime en vlucht MH370 van Malaysian Airlines

my-scam1De wereld volgt het nieuws over het vermiste toestel van Malaysia Airlines van vlucht 370 op de voet. Helaas moeten we concluderen dat cybercriminelen hetzelfde doen. Het inspelen op actueel nieuws is een veel gebruikte methode door cybercriminelen. Echter, we zien dat cybercriminelen hier een andere aanpak kozen dan gebruikelijk. De methode die we hier zien wordt vaak uitsluitend gebruikt bij gerichte aanvallen (APT’s).

APT-methode gebruikt
Eén van de bedreigingen is een nep video van de vlucht, die zich verspreid via e-mail. De video claimt een vijf minuten lange film te zijn van MH370 met de naam ‘Malaysian Airlines MH370 5m Video.exe’. Echter is dit bestand in werkelijkheid een ‘backdoor’ die gedetecteerd wordt als BKDR_OTOPROXY.WR. Net zoals de meeste backdoor-bedreigingen zorgt deze malware ervoor dat de hacker toegang krijgt tot bepaalde functionaliteiten in het systeem, waaronder het downloaden en gebruiken van bestanden van de servers en het verzamelen van informatie van de systemen.

Er is echter een bijzonder aspect aan deze specifieke backdoor-bedreiging. De Command-and-Control (C&C) server op www-dpmc-dynssl-com (vervang de streepjes door punten) werd in oktober vorig jaar door  andere security-onderzoekers gerelateerd aan een gerichte aanval. Het is zeer ongewoon dat een gerichte aanval dezelfde infrastructuur gebruikt als een meer ‘conventionele’ cybercrime campagne zoals hier wel het geval lijkt te zijn. Op dit moment hebben we geen informatie dat deze specifieke ‘backdoor’ werd gebruikt bij gerichte aanvallen. Er zijn daarnaast ook verschillende vormen van survey-scams bekend. Meer hierover lees je op de blog van ons onderzoeksbureau TrendLabs.

Eerste cyberkaping ooit?
Na het nieuws dat het toestel bewust op een verkeerde vliegroute geprogrammeerd zou zijn, gaan er speculaties de ronde dat het zou gaan om de eerste cyberkaping ooit wereldwijd. Op dit moment zijn mijn collega’s van TrendLabs bezig met een onderzoek naar de aannemelijkheid van deze theorie. Wij zullen onze bloglezers van een update voorzien zodra hier meer duidelijkheid over is.

Advies
Wij adviseren gebruikers om alleen berichten te lezen van bekende en gerenommeerde nieuwssites om het laatste nieuws te volgen over vlucht MH370. Social media en e-mails zijn in dit soort situaties vaak geen betrouwbare en veilige bron. Twijfel je over de juistheid van een link, dan kan je die checken via onze gratis url-checker.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *