CandGrab-malware spredes via MS Word

Illustration: 13FTStudio/Bigstock
Skadelig macro i MS Word dokumenter anvendes til hackerangreb og inficering med GandCrap ransomware og Ursnif bankdata spyware.

Sikkerhedsforskere har identificeret to forskellige malware operationer, som begge anvender phishing-mails med Microsoft Word dokumenter som har indlejret skadelige macros og som anvender Powershell til at installere malware.

Det skriver The Hacker News

Metoden anvendes i to, tilsyneladende selvstændige operationer. Den ene spreder en trojansk hest designet til at aflure bankdata kaldet Ursnif, den er også stand til at aflure browsing historik, køre en keylogger og kan installere yderligere bagdøre.

Den anden hacker-kampagne spreder malwaren GandCrap, som krypterer filerne på den inficerede computer og derefter kræver løsesum i form af kryptovaluta for dekryptering.

MS Docs

Sikkerhedsforskere fra Carbon Black har identificeret omkring 180 firskellige varianter af MS Word dokumenter, som har indlejret skadelig kode i VBA macroer (Visual Basic for Applications). Sikkerhedsforskere fra Cisco har identificeret lignende metode.

Som i andre regulære sendes de inficerede dokumenter med mail. Når MS Word dokumentet åbnes starter macroen et PowerShell script, som downloader Ursniff og GandCrap til det inficerede system.

En del af PowerShell koden, er designet til at evaluere det inficerede system, derefter downloades den egentlige virus fra en Pastebin hjemmeside og eksekveres direkte i enhedens hukommelse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize