OpenDocument-malware

Cybercriminelen gebruiken beschadigde OpenDocument-bestanden om de systemen van hun slachtoffers te infecteren met AsyncRAT. Tot dusver lijken de belangrijkste doelwitten van de dreigende campagne hotels in de Latijns-Amerikaanse regio te zijn.

OpenDocument is een legitieme bestandsindeling die wordt gebruikt door Office-toepassingen. De aanvallers hebben echter een gemanipuleerd bestand in dit formaat gemaakt. Het wordt geleverd door e-mails met lokaas waarin het bijgevoegde vergiftigde bestand wordt gepresenteerd als een boekingsverzoek of een gastregistratiedocument. De beoogde slachtoffers wordt gevraagd het bestand te openen en de relevante velden bij te werken. Degenen die het ermee eens zijn, krijgen verder een Excel-document aangeboden waarin wordt gevraagd om macro's in te schakelen, zogenaamd zodat het goed kan worden geopend. In plaats daarvan wordt een dreigende RAT (Remote Access Trojan) genaamd AsyncRAT op het apparaat geïmplementeerd.

De malware kan talloze, opdringerige acties uitvoeren op het geïnfecteerde apparaat. Afhankelijk van de opdrachten die van de operators worden ontvangen, kan AsyncRAT het bestandssysteem manipuleren, gekozen bestanden uploaden, processen starten of beëindigen, keylogging-routines starten en de activiteiten op het systeem bespioneren. Kort gezegd, bedreigingsactoren kunnen AsyncRAT gebruiken om extra, meer gespecialiseerde malware-payloads naar het apparaat van het slachtoffer te leveren, gevoelige of vertrouwelijke informatie te verkrijgen, specifieke websites te openen en meer.