Cybercriminelen gebruiken PostNL bij NanoCore-aanvallen

Vorige maand hebben onderzoekers van Proofpoint een middelgrote NanoCore-campagne getraceerd. Daarbij probeerden aanvallers om ontvangers in Nederland in de val te lokken met behulp van Nederlandstalige lokmiddelen. Deze e-mails waren vooral gericht aan bedrijven in de maakindustrie, industriële sector, technologische sector, zakelijke dienstverlening, gezondheidszorg, auto-industrie, energiesector en de detailhandel.

Bij deze campagne werden de berichten zogenaamd verstuurd namens PostNL. Maar in werkelijkheid komen de e-mails in deze campagne van het e-mailadres “no-reply@posta.hu”. Dit domein, posta.hu, is overigens het domein van de Hongaarse postdienst. De e-mails hadden als onderwerp “Aw:Aankomst van pakket” en de ontvanger werd in het Nederlands verzocht om een schadelijke bijlage te openen. Wanneer de bijlage “PostNL klant verzendinformatie document doc.arj” werd geopened, zou NanoCore op het systeem worden geïnstalleerd.

NanoCore wordt verkocht op ondergrondse fora voor $19,99, heeft een uitgebreide reeks functies en krijgt wekelijks een update voor “klanten”. Proofpoint beschermt zijn klanten tegen dit soort bedreigingen wanneer we zien dat ze zich op onze gebruikers richten.

NanoCore is een Remote Access Trojan (RAT) die cybercriminelen in staat stelt om de volledige controle over het geïnfecteerde systeem over te nemen. Dit geeft hen de mogelijkheid om allerlei gegevens te stelen zoals belangrijke bestanden, financiële informatie, maar ook gebruikersnamen en wachtwoorden. In principe geeft NanoCore de aanvaller volledige controle over het systeem, meestal zonder medeweten van het slachtoffer. Hierdoor kan een aanvaller vaak langduring ongestoord zijn gang gaan op het netwerk.

“De lage kosten en het gebruiksgemak van NanoCore hebben ervoor gezorgd dat het op wereldwijde schaal succesvol blijft. Cybercriminelen blijven er gebruik van maken, waardoor zij veel en langdurige controle krijgen over het netwerk na een succesvolle aanval”, aldus Sherrod DeGrippo, Sr. Director of Threat Research and Detection bij Proofpoint.