Trusselaktøren deaktiverer beskyttelse mod at køre makro-scripts i Outlook og planter kildefilen til spearphishing angreb, der spreder malware til andre ofre. Derfor kan denne form for angreb sprede sig med lynets hast.
At kompromittere en e-mail-konto for at sprede malware til kontakter er ikke en ny, men malware-analytikere hos cybersikkerhedsfirmaet ESET mener, at metoden, der denne gang er brugt af Gamaredon, ikke er blevet dokumenteret tidligere.
Analysere af angrebet afslører, at kæden af events i denne form for angreb, starter med et VBScript, der afslutter Outlook processen.
Dernæst ændrer scriptet registreringsdatabaseværdier for at fjerne sikkerheden mod at udføre VBA-makroer i Outlook og gemmer en ondsindet OTM-fil på harddisken, der hjælper med at sprede inficerede dokumenter til e-mail-adresser på kontaktlisten.
Outlook understøtter kun et VBA-projekt ad gangen, og OTM-filen, der bruges i Gamaredon-aktivitet, indeholder et VBA-script (makro), en ondsindet e-mail-vedhæftet fil.
"These macro injection modules also have the functionality to tamper with the Microsoft Office macro security settings. Thus, affected users have no idea that they are again compromising their workstations whenever they open the documents. We have seen this module implemented in two different languages: C# and VBScript"
Læs hele historien HER
Source & Image credit:
welivesecurity, ESET, Microsoft