Pénzt ígért a webes Word dokumentum
Rafinált megoldást találtak a kiberbűnözők arra, hogy a felhasználókat rávegyék az Emotet trójai telepítésére: úgy tűnik, mintha egy online Word dokumentum megnyitásához kellene futtatni egy kiegészítőt, miközben a háttérben valójában egy trójai telepítődik. Védekezni odafigyeléssel, vírusellenes megoldással lehet.
A támadás során a bűnözők hamisított email küldenek a felhasználóknak, mely úgy néz ki, mintha a barátunktól érkezne. Ebben az e-mailben pénzvisszafizetést, kedvezményt ígérnek, ehhez csak ki kell nyitni a csatolt Word dokumentumot.
A csavar pedig itt jelentkezik: a dokumentum formázása az online Word felületét utánozza, és ettől igazán megtévesztő. Arra kéri a felhasználót, kattintson az Enable editing gombra, majd válassza az Enable content lehetőséget. Ezzel azt imitálják, hogy kiegészítő tartalom telepítésére van szükség ahhoz, hogy az ígért kedvezményhez hozzájussunk.
A gyakorlatban azonban a háttérben egy Word makrót futtatnak le, amely kinyitja a Windows Powershellt, majd további kártevőt tud telepíteni a gépre. A makró valóban az Emotet trójai, amely visszavonhatatlanul beágyazódhat egy adott rendszerbe, majd hátsó ajtót nyit további kártevők telepítéséhez.
Ezután a bűnözők a számítógépen egy futtatható (.exe) fájlt mentenek el az ideiglenes állományok tárolására szolgáló mappában, melynek három véletlenszerű számból alakítják ki a nevét. Majd ezután négy, valószínűleg korábban megfertőzött, és az ellenőrzésük alatt lévő weboldalra látogatnak el: colexpresscargo.com, notehashtom.ir, corporaciondelsur.com.pe és farmasi.uin-malang.ac.id.
A jó hír az egészben, hogy az átgondolt támadás ellen a G DATA megoldása védi a felhasználókat.
Pár alapvető biztonsági elv betartásával pedig magunk is tehetünk biztonsági szintünk növeléséért.
- Például soha se nyissuk meg a kéretlen e-maileket. Ha mégis megnyitottuk, ne kattintsunk a benne lévő linkekre, ne nyissuk meg a csatolmányt sem.
- Ha úgy tűnik, barátunktól, ismerősünktől érkezne a levél, egy gyors telefonhívással, üzenetváltással meggyőződhetünk, hogy tényleg tőle érkezett.
- Az email header-je is elárulja, hogy pontosan milyen email címről is érkezett a levél.
- Végül azt is tartsuk szem előtt, hogy a kártevőt telepítő Word makrókat az egyéni felhasználóknak általában nem is kell aktiválniuk, így a makrók futtatása ki is kapcsolható a gépen.
Forrás: https://virusirto.hu