Excel este folosit ca momeală proaspătă pentru phisher - iată cum.

2 min. citit

Actualizat pe 2 Februarie 2020

actualizat la 2 Februarie 2020

Cititorii ajută la sprijinirea MSpoweruser. Este posibil să primim un comision dacă cumpărați prin link-urile noastre.

Evil Corp a găsit o nouă modalitate de a-și phishing victimele, folosind documente Microsoft Excel.

Grupul criminalistic cibernetic, cunoscut și sub numele de TA505 și SectorJo4, sunt criminali cibernetici motivați financiar. Sunt renumiți pentru că vizează companiile de retail și instituțiile financiare cu campanii de spam rău intenționate de mari dimensiuni, folosind botnetul Necurs; dar acum, au adoptat o nouă tehnică.

În cea mai recentă înșelătorie, trimit atașamente cu redirectoare HTML cu documente Excel rău intenționate. Prin intermediul linkurilor, ei distribuie troieni de acces la distanță (RAT-uri), la fel de bine ca descărcatoare de programe malware care a livrat troienii bancar Dridex și Trick. Aceasta include și tulpinile de ransomware Locky, BitPaymer, Philadelphia, GlobeImposter, Jaff.

„Noua campanie folosește redirectoare HTML atașate la e-mailuri. Când este deschis, codul HTML duce la descărcarea Dudear, un fișier Excel rău-încărcat cu macro-uri care elimină încărcătura utilă.”

„În schimb, campaniile anterioare de e-mail Dudear au transportat malware-ul ca atașament sau au folosit URL-uri rău intenționate.” -Cercetatorii Microsoft Security Intelligence.

Dudear (alias TA505 / SectorJ04 / Evil Corp), utilizat în unele dintre cele mai mari campanii malware astăzi, este din nou în funcțiune în această lună, după o scurtă pauză. În timp ce am văzut unele schimbări de tactică, Dudear reînviat încă încearcă să implementeze troianul GraceWire care fură informații.

— Microsoft Threat Intelligence (@MsftSecIntel) Ianuarie 30, 2020

La deschiderea atașamentului HTML, victima va descărca automat fișierul Excel. Odată ce îl deschid, iată cu ce se întâlnesc:

Odată ce ținta face clic pe „Activați editarea”, așa cum li se cere în document, ei vor dezlănțui malware-ul pe sistemul lor.

După acest moment, dispozitivul lor va fi, de asemenea, infectat cu un serviciu de urmărire IP, care „urmărește adresele IP ale mașinilor care descarcă fișierul Excel rău intenționat”.

Raportul Analytics amenințări (Microsoft)

Pe lângă aceasta, malware-ul include GraceWire, un troian care fură informații, care colectează informații sensibile și le transmite inapoi autorii prin intermediul unui server de comandă și control.

Vedeți lista completă a indicatorilor de compromis (IOC), inclusiv hash-uri SHA-256 ale mostrelor de malware utilizate în campanie, aici și aici.

Sursa: computerul bleeping

Mai multe despre subiecte: Excel, hacker, malware, microsoft, Phishing, securitate, virus