Excel se používá jako čerstvá návnada pro phishery – zde je návod.
2 min. číst
Aktualizováno dne
Sdílejte tento článek
Vylepšete tuto příručku
Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více
Evil Corp našel nový způsob, jak phishing své oběti – pomocí dokumentů Microsoft Excel.
Skupina kyberzločinců, známá také jako TA505 a SectorJo4, jsou finančně motivovaní kyberzločinci. Jsou známé tím, že se zaměřují na maloobchodní společnosti a finanční instituce s rozsáhlými škodlivými spamovými kampaněmi pomocí botnetu Necurs; ale nyní přijali novou techniku.
Ve svém nejnovějším podvodu posílají přílohy obsahující přesměrovače HTML se škodlivými dokumenty aplikace Excel. Prostřednictvím odkazů distribuují trojské koně pro vzdálený přístup (RAT), stejně jako stahovače malwaru která přinesla trojské koně Dridex a Trick banking. Patří sem také kmeny Locky, BitPaymer, Philadelphia, GlobeImposter, Jaff ransomware.
„Nová kampaň používá přesměrovače HTML připojené k e-mailům. Po otevření vede HTML ke stažení Dudear, škodlivého souboru Excelu plného makra, který snižuje užitečné zatížení,“
"Naproti tomu minulé e-mailové kampaně Dudear obsahovaly malware jako přílohu nebo používaly škodlivé adresy URL." -Výzkumníci Microsoft Security Intelligence.
Dudear (také znám jako TA505/SectorJ04/Evil Corp), používaný v některých z největších malwarových kampaní současnosti, je tento měsíc po krátké přestávce opět v provozu. I když jsme viděli nějaké změny v taktice, oživený Dudear se stále pokouší nasadit Trojan GraceWire, který kradne informace.
— Microsoft Threat Intelligence (@MsftSecIntel) Ledna 30, 2020
Po otevření přílohy HTML si oběť automaticky stáhne soubor Excel. Jakmile jej otevřou, setkají se s tímto:
Jakmile cíl klikne na „Povolit úpravy“ podle pokynů v dokumentu, vypustí malware do svého systému.
Po tomto okamžiku bude jejich zařízení také infikováno službou IP traceback, která „sleduje IP adresy počítačů, které stahují škodlivý soubor Excel“.
Přehled analýzy hrozeb (Microsoft)
Kromě toho tento malware zahrnuje GraceWire – trojský kůň, který shromažďuje citlivé informace a předává je zpět pachatelům prostřednictvím příkazového a řídicího serveru.
Zobrazit úplný seznam Indicators of Compromise (IOC), včetně SHA-256 hash vzorků malwaru použitých v kampani, zde a zde.
Zdroj: pípající počítač
