Makro-malware forsøger at undgå skoler og sygehuse

Bagmændene bag en ny variant af malware, ser ud til at prøve at undgå at ramme visse typer mål ved at bruge Powershell til at lede efter bestemte ord.

Skoler og sygehuse er åbenbart fredede for bagmændene bag en ny familie af malware, som Palo Alto Networks har opdaget i en begrænset spear-phishing-kampagne. Det skriver The Register.

I hvert fald indeholder malware en række kommandoer, der undersøger blandt andet maskinnavnet for at se, om det indeholder ord som 'school', 'hospital', 'teacher' eller andre ord, der relaterer sig til sundhedssektoren og uddannelsesinstitutioner.

Hvis netværksoplysningerne eller maskinnavnet indikerer, at maskinen kunne stå på for eksempel et hospital, så sender den én kode retur til kontrolserveren. Hvis oplysningerne derimod indeholder ord, der kunne tyde på, at maskinen er en pc, der bruges som kasseapparat og dermed kan inficeres for at opsnappe betalingskortoplysninger, så sendes en anden kode retur.

Dermed ser det ifølge Palo Alto Networks ud til, at bagmændene forsøger at skåne visse mål.

Selve malwaren ankommer i målrettede e-mailkampagner som en makro indlejret i et Word-dokument. Hvis modtageren åbner dokumentet og tillader afviklingen af makroen, så åbnes en skjult Powershell-prompt og et script bliver hentet fra en ekstern server.

Dernæst kontrolleres altså for blandt andet maskinnavnet, hvorefter den endelige malware hentes, hvis systemet ser ud til at tilhøre den type mål, bagmændene går efter.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Kommentarer (6)

Michael Jensen

Særligt valget med hospitalerne kan være ok gennemtænkt.
Hvis man forventer blot at ramme privatpersoner, lidt butikker og lidt POS'er, kan det godt være man blir lidt forskrækket, hvis man pludselig har inficeret et stort hospital, og folk begynder at dø. Det øger risikoen for at få FBI m.fl på nakken betydeligt, og der er næppe de store penge i det.
Men hvorfor skoler skal være undtaget kan jeg ikke lige gennemskue...

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen