Microsoft Office 365 gebruikers zijn de nieuwste slachtoffers van enorme phishing-aanvallen die zijn ontworpen om hen te chanteren om malware-bestanden te openen. De schadelijke bestanden worden gehost in SLK-bestanden, die ook een nieuw infectiemechanisme bevatten.
Nieuwe inbraaktechniek gebruikt om Microsoft Office op te lichten 365 Gebruikers om SLK-bestanden te openen
Computercriminelen zijn voortdurend op zoek naar nieuwe methoden om potentiële kwaadwillende gebruikers te infecteren. In dit specifieke geval hebben de criminelen zich geconcentreerd gebruikers van Microsoft Office 265 gebruikers. Om deze reden heeft de hackgroep een nieuwe infectiestrategie ontwikkeld die wordt beschreven als een nieuwe aanpak om de standaardbeveiliging van de applicatie te omzeilen. De strategie die door de aanvallers wordt bedacht, is het omzeilen van Microsoft Office 365 opties, inclusief de geavanceerde beveiligingsvoorzieningen.
De infectiestrategie omvat het gebruik van de distributie van SLK-bestanden die zijn bijgevoegd phishing e-mailberichten gericht op de gebruikers. De hackers kunnen verschillende strategieën proberen te gebruiken:
- Phishing e-mailberichten — De hackers zullen zich voordoen als bedrijven en diensten die bekend zijn bij de slachtoffers. Deze berichten bevatten gestolen of vervalste afbeeldingen en inhoud die eruitziet als de daadwerkelijke sites. Door ze te openen kunnen de bestanden worden gekoppeld of bijgevoegd.
- spamberichten — Berichten die in bulk worden verzonden, kunnen worden gebruikt als drager voor de infectie. In dit geval kunnen algemene scenario's worden geprogrammeerd om de bedreigingen te dragen.
- Malwaredrager-bestanden — De infectie kan deel uitmaken van carrier-bestanden die de bedreiging zullen installeren zodra ze worden uitgevoerd. Voorbeelden zijn -Macro geïnfecteerde documenten (van alle populaire formaten) en programmabundel installateurs — de hackers zullen de relevante code invoegen in de installatiebestanden van software die vaak door eindgebruikers wordt geïnstalleerd.
De aanvallen beginnen met uitvoering van de bijlagen SLK-bestanden. Ze bevatten een schadelijk macro-script dat de relevante zal starten leveringsmechanisme verantwoordelijk voor het downloaden van de malwarecode. Dit zal een toegang Trojan op afstand waardoor de hackers de controle over de geïnfecteerde machines kunnen overnemen. Dit wordt gedaan door een lokale client op het systeem te installeren die een verbinding tot stand brengt met een door een hacker bestuurde server die wordt beheerd door de criminele groep.
Het eigenlijke SLK-bestand is een op tekst gebaseerd formaat die wordt gebruikt in spreadsheetsoftware (zoals Microsoft Excel) wat niet vaak wordt gebruikt. In sommige gevallen wordt het echter nog steeds gebruikt en kan het door de meeste moderne versies van het programma worden geopend. In dit geval niet veel organisaties zijn getroffen — het is heel goed mogelijk dat dit gebeurt in een gerichte campagne.
Voor deze specifieke aanval was de campagne afkomstig van Hotmail gehoste inboxen. Zij zijn de afzenders van de malware-e-mails en bevatten gevaarlijke bestanden, waaronder macro's. De hackers zullen verschillende personages gebruiken, waaronder ^ om de e-mailbeveiligingsfilters te omzeilen — hierdoor worden bepaalde antiviruscontroles omzeild. De daadwerkelijke URL wordt ook in twee delen opgesplitst, zodat het beveiligingssysteem deze niet als weblink kan lezen.
Als je ziet hoe deze aanvallen nog steeds worden verzonden naar bedrijven en services, is het heel goed mogelijk dat de hackers in de toekomst doorgaan met de inbraakpogingen.