Malware die zich via het populaire tekenprogramma AutoCAD verspreidt om zo allerlei waardevolle documenten te stelen is nog steeds succesvol, zo waarschuwt securitybedrijf Forcepoint in een analyse. Al in 2000 werd de eerste AutoCAD-malware ontdekt.

In 2012 bleek dat dergelijke malware ook voor cyberspionage wordt ingezet. De aanvallen zijn mogelijk doordat AutoCAD bij het openen van een tekening ook een aanvullend script kan uitvoeren, vergelijkbaar met macro’s in Microsoft Office-documenten. Bij de nu waargenomen aanvallen maken de aanvallers gebruik van AutoCAD-tekeningen die bij andere slachtoffers zijn gestolen, alleen zijn voorzien van een kwaadaardig script.

Zodra de malware actief is kan die ook de directories van andere AutoCAD-projecten op de computer infecteren. Op deze manier kan de malware zich verder verspreiden als medewerkers binnen een organisatie of met leveranciers bestanden uitwisselen. Infecties zijn in de Verenigde Staten, China, India, Turkije en verschillende Europese landen waargenomen. Het gaat onder andere om bedrijven in de automobiel- en energiesector.

Onderzoekers van Forcepoint stellen dat het automatisch uitvoeren van de kwaadaardige scripts alleen plaatsvindt als de scripts zich op een bepaalde plek bevinden. Daarnaast laat AutoCAD ook een waarschuwing zien. “Enige social engineering is waarschijnlijk dan ook vereist”, aldus de onderzoekers. De aanvalscampagne die ze ontdekten zou al sinds 2014 actief zijn. Organisaties die met AutoCAD werken krijgen het advies om het automatisch laden van onbetrouwbare bronnen uit te schakelen, instellen dat er bij het laden van een module altijd een pop-up verschijnt en dat verborgen bestanden zichtbaar worden gemaakt.