Malware pod przykrywką COVID-19

Wzrasta liczba wyłudzeń, ataków i kampanii phishingowych, w których motywem przewodnim jest koronawirus. Eksperci ostrzegają przed nowym zagrożeniem wykorzystującym złośliwe makra w programie Excel 4.0.

Hakerzy bardzo często przeprowadzają ataki za pośrednictwem poczty e-mail. Ta metoda pozwala im łatwo i szybko dotrzeć do setek tysięcy potencjalnych ofiar. Niemniej, aby adresaci połknęli haczyk, informacja musi ich zainteresować lub zaniepokoić. W ostatnich miesiącach najgorętszym tematem jest pandemia COVID-19, co skrzętnie starają się wykorzystać cyberprzestępcy. Niedawno Microsoft wykrył nową akcję phishingową, w której napastnicy rozsyłają e-maile „WHO COVID-19 situation report”. Odbiorca otwierając plik, zawierający wykres rzekomo przedstawiający stan epidemii w Stanach Zjednoczonych, pobiera złośliwe makro w programie Excel 4.0 i uruchamia NetSupport Manager RAT. Następnie ładowane są kolejne pliki, w tym kilka .dll, .ini i inne pliki .exe, VBScript oraz zaciemniony skrypt PowerShell. Po zakończeniu procedury zainfekowany komputer łączy się z centrum kontroli i oczekuje na dalsze polecenia hakera.

– Tego rodzaju ataki istniały przed pandemią, aczkolwiek przestępcy dostosowali swoją strategię do aktualnej sytuacji. Wiadomości dotyczące koronawirusa są chętnie czytane, a tym samym istnieje duże prawdopodobieństwo, że ktoś otworzy e-mail z COVID-19 w tytule. Od dawna przekonujemy ludzi, żeby nie otwierać listów i załączników pochodzących z nieznanych źródeł.  Ponadto warto posiadać oprogramowanie zabezpieczające punkty końcowe, a także domyślnie wyłączyć makra pakietu Microsoft Office – mówi Mariusz Politowicz, z firmy Marken dystrybutora rozwiązań Bitdefender w Polsce.

 Pikanterii sprawie dodaje fakt, że Excel 4.0 pochodzi z 1992 roku. Choć od jego premiery minęło osiemnaście lat makra Excel 4.0 są wciąż obsługiwane przez najnowsze wersje pakietu Microsoft Office, będąc przy okazji wygodną furtką dla cyberprzestępców.

źródło: Bitdefender

Dodaj komentarz

%d bloggers like this: