Excel bliver brugt som frisk lokkemad for phishere - her er hvordan.

2 min. Læs

Opdateret den Februar 2, 2020

opdateret Februar 2, 2020

Læsere hjælper med at understøtte MSpoweruser. Vi får muligvis en kommission, hvis du køber via vores links.

Evil Corp har fundet en ny måde at phishe deres ofre på - ved hjælp af Microsoft Excel-dokumenter.

Cyberkriminalitetsgruppen, også kendt som TA505 og SectorJo4, er økonomisk motiverede cyberkriminelle. De er kendt for at målrette detailvirksomheder og finansielle institutioner med ondsindede spamkampagner i store størrelser ved at bruge Necurs botnet; men nu har de taget en ny teknik i brug.

I deres seneste svindelnummer sender de vedhæftede filer med HTML-omdirigerere med ondsindede Excel-dokumenter. Gennem linkene distribuerer de fjernadgang trojanske heste (RAT'er), såvel som malware-downloadere der leverede Dridex- og Trick-banktrojanerne. Dette inkluderer også Locky, BitPaymer, Philadelphia, GlobeImposter, Jaff ransomware-stammer.

"Den nye kampagne bruger HTML-omdirigerere, der er knyttet til e-mails. Når den åbnes, fører HTML til download af Dudear, en ondsindet makroladet Excel-fil, der slipper nyttelasten."

"I modsætning hertil har tidligere Dudear-e-mailkampagner bragt malwaren som en vedhæftet fil eller brugte ondsindede URL'er." -Microsoft Security Intelligences forskere.

Dudear (alias TA505/SectorJ04/Evil Corp), der bruges i nogle af de største malware-kampagner i dag, er tilbage i drift i denne måned efter en kort pause. Mens vi så nogle ændringer i taktikken, forsøger den genoplivede Dudear stadig at implementere den info-stjælende trojanske GraceWire.

— Microsoft Threat Intelligence (@MsftSecIntel) Januar 30, 2020

Ved åbning af HTML-vedhæftningen vil offeret automatisk downloade Excel-filen. Når de åbner den, er dette, hvad de bliver mødt med:

Når målet klikker på "Aktiver redigering", som de bliver bedt om i dokumentet, vil de frigive malwaren på deres system.

Efter dette tidspunkt vil deres enhed også blive inficeret med en IP-sporingstjeneste, som "sporer(er) IP-adresserne på maskiner, der downloader den ondsindede Excel-fil."

Trusselsanalyserapport (microsoft)

Ud over dette inkluderer malwaren GraceWire - en info-stjælende trojaner, som indsamler følsomme oplysninger og videresender dem tilbage til gerningsmændene via en kommando-og-kontrol-server.

Se den fulde liste over Indicators of Compromise (IOC'er), inklusive SHA-256-hash af de malware-prøver, der blev brugt i kampagnen, link. , link..

Kilde: blødende computer

Mere om emnerne: Excel, hacker, malware, microsoft, Phishing, sikkerhed, virus