computer

AUTHOR : Uber
PUBLISHED : 2020-05-20 10:00

Microsoft advarer om massivt phishing angreb


Microsoft advarer om en igangværende COVID-19-phishing-kampagne, der installerer et NetSupport Manager fjernadministrationsværktøj på computerne.

Microsoft Security Intelligence


I en række tweets skitserer Microsoft Security Intelligence afdelingen, hvordan COVID-19-phishing-kampagne spreder værktøjet via ondsindede Excel-vedhæftede filer.

Angrebet starter med e-mails, der foregiver at være fra Johns Hopkins Center, som sender en opdatering om antallet af Coronavirus-relaterede dødsfald i USA.

malicious-email.jpg

Image credit: Microsoft

Vedhæftet i e-mail er en Excel-fil med titlen ”covid_usa_nyt_8072.xls”, der, når den åbnes, viser et diagram over antallet af dødsfald i USA baseret på data fra New York Times.

Eftersom dokumentet indeholder ondsindede makroer, vil det bede brugeren om at "Aktiver indholdet". Når brugeren klikker på filen, aktiveres de ondsindede makroer til at downloade og installere NetSupport Manager-klienten fra en ekstern kilde.

spreadsheet.jpg

Image credit: Microsoft

"The hundreds of unique Excel files in this campaign use highly obfuscated formulas, but all of them connect to the same URL to download the payload. NetSupport Manager is known for being abused by attackers to gain remote access to and run commands on compromised machines” skriver Microsoft i et tweet.

NetSupport Manager er et legitimt fjernadministrationsværktøj, der ofte distribueres i hacker-kredse til brug som en fjernadgangstrojaner.

Når installeret, tillader dette værktøj en trusselaktør at få fuld kontrol over den inficerede maskine og udføre kommandoer på den eksternt. I dette angreb gemmes NetSupport Manager-klienten som en dwm.exe-fil under en tilfældig % AppData% -mappe og aktiveres.

Da fjernadministrationsværktøjet maskerer sig som en legitim Desktop Windows Manager eksekverbar fil, giver det hackeren mulighed for at bevæge sig under radaren hos brugeren, og vil end ikke fremkommer under Joblisten på computeren.

Der fremkommer endnu ingen offentliggjort informationer om, hvorvidt denne phishing-kampagne er et globalt problem, eller om den kun er aktiv i lokale områder. 

Skulle du alligevel ende med at blive ramt, må du arbejde ud fra den antagelse, at din data er blevet kompromitteret, og at hackerens mål er at stjæle adgangskoder.

Efter fjernelse af inficerede filer, bør du ændre dine adgangskoder, og alle computere på netværket bør tjekkes for infektioner.


Source & Image credit:

Microsoft Security Intelligence