Microsoft Office 365 brugere er de nyeste ofre for en massiv phishing-angreb designet til at afpresse dem til at åbne malware-filer. De ondsindede filer hostes i SLK-filer, som også inkluderer en ny infektionsmekanisme.
Ny indtrængningsteknik brugt til at svindle Microsoft Office 365 Brugere til at åbne SLK-filer
Computerkriminelle er konstant på udkig efter nye metoder til at inficere potentielle ondsindede brugere. I dette særlige tilfælde har de kriminelle fokuseret på brugere af Microsoft Office 265 brugere. Af denne grund har hacking-gruppen udtænkt en ny infektionsstrategi, der beskrives som en ny tilgang til at omgå programmets standardsikkerhed. Strategien, der er udtænkt af angriberen, er omgåelse af Microsoft Office 365 muligheder, inklusive de avancerede sikkerhedsbestemmelser.
Infektionsstrategien involverer brugsfordeling af SLK-filer som er knyttet i phishing e-mails målrettet mod brugerne. Hackerne kan forsøge at bruge flere strategier:
- Phishing e-mails — Hackerne vil efterligne virksomheder og service, der er kendt for ofrene. Disse meddelelser vil indeholde stjålet eller forfalsket grafik og indhold, der ligner de faktiske websteder. Ved at åbne dem kan filerne knyttes eller vedhæftes.
- spammeddelelser — Meddelelser, der sendes i bulk, kan bruges som bærere af infektionen. I dette tilfælde kan generiske scenarier programmeres til at bære truslerne.
- Filer til skadelig malware — Infektionen kan være en del af transportørfiler, der installerer truslen, så snart de køres. eksempler er makro-inficerede dokumenter (fra alle populære formater) og ansøgning bundt installatører — hackerne indsætter den relevante kode i installationsfilerne til software, der ofte installeres af slutbrugere.
Angrebet starter med henrettelse af den vedhæftede SLK-filer. De indeholder et ondsindet makroskript, der starter det relevante leveringsmekanisme ansvarlig for at downloade malware-koden. Dette vil implementere en fjernadgang Trojan hvilket giver hackere mulighed for at overtage kontrollen over de inficerede maskiner. Dette gøres ved at installere en lokal klient på systemet, der opretter en forbindelse til en hacker-kontrolleret server, der drives af den kriminelle gruppe.
Den faktiske SLK-fil er en tekstbaseret format som bruges i regnearkssoftware (som Microsoft Excel) som ikke ofte bruges. Dog bruges den stadig i nogle tilfælde og kan åbnes af de fleste moderne versioner af programmet. I dette tilfælde ikke mange organisationer er blevet påvirket — det er meget muligt, at dette gøres i en målrettet kampagne.
Til netop dette angreb blev kampagnen rettet fra Hotmail hostede indbakker. De er afsendere af malware-e-mails og inkluderer farlige filer inklusive makroer. Hackerne bruger forskellige karakterer inklusive ^ at omgå e-mail-sikkerhedsfiltre — dette vil undgå visse antiviruschecks. Den aktuelle URL bliver også opdelt i to dele, hvilket forhindrer sikkerhedssystemet i at læse det som et weblink.
Når man ser, hvordan disse angreb fortsat sendes mod virksomheder og tjenester, er det meget muligt, at hackerne vil fortsætte med indbrudsforsøg i fremtiden.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: