Svenska

Ny säkerhetsattack riktas mot företagschefer

Report this content

Datasäkerhetsföretaget Norman varnar för en ny typ av säkerhetsattack där chefer och företagsledningar luras av falska stämningshot som sänds ut via e-post. En av dem som blivit utsatt är Normans egen koncernchef Tryggve Aasland.

Det norska säkerhetsföretaget Norman har den senaste tiden mottagit en ökande mängd anmälningar från kunder och partners över hela världen om ett nytt riktat e-postangrepp, så kallade Spear phishing-attacker. Denna gång är meddelandet riktat mot personer i chefspositioner, och inte personer med koppling till en internetbank, som det har varit fråga om vid samma typ av attacker tidigare.

En av dem som blivit utsatt för svindelförsöket är Normans koncernchef Trygve Aasland, som lyckligtvis inte blev drabbad eftersom Normans eget antivirusprogram upptäckte angreppet. Upptäckten gjordes med Normans Sandbox-teknologi, som identifierar och oskadliggör även nya och okända säkerhetshot

- Den här typen av e-postangrepp har funnits tidigare, men det nya är att angreppet den här gången är mycket mer målgruppsanpassad. Det finns dessutom risk för att många fler kommer att bli lurade, eftersom e-postmeddelandet ser mycket trovärdigt ut, säger Thomas Thard, vd på Norman i Sverige.

Bedrägeriförsöket inleds med ett e-postmeddelande som ser ut som en stämningsansökan från US District Courts i USA. E-posten ser mycket realistisk ut och är adresserad till personer i ledande ställningar. Det innehåller dessutom inga stavfel, vilket tidigare ofta varit fallet med den här typen av attacker. I meddelandet uppmanas sedan mottagaren att följa en länk till ett dokument, vilken vid första anblick uppges vara mycket lik en länk till ett nätverk som används inom det amerikanska rättsystemet. Det visar sig dock vid närmare granskning att den går till en dator i Jinan i Kina.

När mottagaren sedan följer den falska länken blir man uppmanad att installera en plug-in funktion för att få tillgång till dokumentet. Om man installerar funktionen och öppnar dokumentet ges beskedet att rättssaken är bordlagd. I samband med att man följde länken så installeras en back door-trojan som ger utomstående tillgång till information på användarens dator. Detta kan vara känsliga uppgifter så som betalningsinformation, företagshemligheter, webbläsarhistorik eller finansiell information, för att nämna några exempel.

Trojanerna installeras i form av ett digitalt signerat CAB-arkiv som urskiljer en fil med namnet acrobat.exe. Acrobat exe installerar sedan på nytt en fil som heter %SYSTEM%\acrobat.dll som är ett webbläsar-objekt (Browser Helper Object), och som ger trojaner tillgång till all data som passerar genom webbläsaren och Windows Explorer.

Norman uppmanar till försiktighet och att denna och andra typer av misstänkt e-post behandlas med vasramhet. Den som är osäkerhet på innehållet i mottagna e-postmeddelanden, eller som tror sig ha blivit smittad kan vända sig till Norman på telefon 011-230 330 eller maila till support@norman.no.