Det norske datasikkerhetsselskapet Norman har den senere tiden mottatt en økende mengde meldinger fra kunder og samarbeidspartnere over hele verden om et nytt, målrettet epost- angrep (såkalt «spear phishing attack»). Denne gangen er angrepet rettet mot bedriftsledere, og ikke nettbankkunder som det som oftest er snakk om i slike tilfeller.
Blant dem som er forsøkt lurt er Trygve Aasland, administrerende direktør i Norman.
Men Aasland ble ikke rammet da Normans antivirusprogramvare oppdaget svindelforsøket ved hjelp av Normans unike Sandbox-teknologi.
- I seg selv er ikke denne type svindel ny, men det som er nytt er at den er så målrettet som den virker å være nå. Sannsynligvis vil dette føre til at flere blir lurt, ettersom eposten ser svært realistisk ut, sier Trygve Aasland, administrerende direktør i Norman.
Hendelsesforløpet starter med en e-post som ser ut som en stevning fra US District Courts i USA. E-posten ser svært realistisk ut, er rettet direkte til navngitte personer i ledende stillinger, og inneholder ingen avslørende stavefeil slik man ofte ser i andre former for nettfisking (phishing).
Det opplyses i eposten om at en må følge en lenke og sette seg inn i saksdokumentene.
Lenken som oppgis har en overfladisk likhet med en lenke som benyttes av nettsteder i det amerikanske rettssystemet, men viser seg ved ettersyn å gå til en maskin i Jinan, Kina.
Idet man følger denne lenken blir man bedt om å installere en «plug-in» for å få tilgang til dokumentene. Gjør man dette, får man åpnet de såkalte saksdokumentene som sier at saken er henlagt.
Elementet som legger seg på offerets maskin (det blir lastet ned automatisk fra nettstedet når du følger lenken) er en «plug-in» som installerer en bakdørtrojaner som gir utenforstående tilgang på informasjon på maskinen. Dette kan være sårbare data som betalingsinformasjon, bedriftshemmeligheter, nettleserhistorie og børssensitiv informasjon, bare for å nevne noe.
Trojaneren installeres i form av et digitalt signert CAB-arkiv, som ekstraherer en fil ved navn acrobat.exe. Acrobat.exe installerer igjen en fil %SYSTEM%\acrobat.dll som et nettleserobjekt (Browser Helper Object) og gir trojaneren tilgang på alle data som passerer gjennom nettleseren og Windows Explorer.
