Makro-malware forsøger at undgå skoler og sygehuse

Bagmændene bag en ny variant af malware, ser ud til at prøve at undgå at ramme visse typer mål ved at bruge Powershell til at lede efter bestemte ord.

Skoler og sygehuse er åbenbart fredede for bagmændene bag en ny familie af malware, som Palo Alto Networks har opdaget i en begrænset spear-phishing-kampagne. Det skriver The Register.

I hvert fald indeholder malware en række kommandoer, der undersøger blandt andet maskinnavnet for at se, om det indeholder ord som 'school', 'hospital', 'teacher' eller andre ord, der relaterer sig til sundhedssektoren og uddannelsesinstitutioner.

Hvis netværksoplysningerne eller maskinnavnet indikerer, at maskinen kunne stå på for eksempel et hospital, så sender den én kode retur til kontrolserveren. Hvis oplysningerne derimod indeholder ord, der kunne tyde på, at maskinen er en pc, der bruges som kasseapparat og dermed kan inficeres for at opsnappe betalingskortoplysninger, så sendes en anden kode retur.

Dermed ser det ifølge Palo Alto Networks ud til, at bagmændene forsøger at skåne visse mål.

Selve malwaren ankommer i målrettede e-mailkampagner som en makro indlejret i et Word-dokument. Hvis modtageren åbner dokumentet og tillader afviklingen af makroen, så åbnes en skjult Powershell-prompt og et script bliver hentet fra en ekstern server.

Dernæst kontrolleres altså for blandt andet maskinnavnet, hvorefter den endelige malware hentes, hvis systemet ser ud til at tilhøre den type mål, bagmændene går efter.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
Hvordan sletter jeg min profil?

Særligt valget med hospitalerne kan være ok gennemtænkt.
Hvis man forventer blot at ramme privatpersoner, lidt butikker og lidt POS'er, kan det godt være man blir lidt forskrækket, hvis man pludselig har inficeret et stort hospital, og folk begynder at dø. Det øger risikoen for at få FBI m.fl på nakken betydeligt, og der er næppe de store penge i det.
Men hvorfor skoler skal være undtaget kan jeg ikke lige gennemskue...

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017