Zo misbruiken phishers Excel

Evil Corp heeft een nieuwe manier gevonden om hun slachtoffers te phishing met behulp van Microsoft Excel-documenten.

De cybercrime-groep, ook bekend als TA505 en SectorJo4, zijn financieel gemotiveerde cybercriminelen. Ze staan ​​erom bekend dat ze zich richten op retailbedrijven en financiële instellingen met grote kwaadaardige spamcampagnes, met behulp van Necurs botnet; maar nu hebben ze een nieuwe techniek overgenomen.

In hun nieuwste zwendel verzenden ze bijlagen met HTML-omleidingen met kwaadaardige Excel-documenten. Via de koppelingen verspreiden ze externe toegang Trojaanse paarden ( RAT’s ), evenals de malware-downloaders die de Dridex en Trick bank-Trojaanse paarden hebben geleverd. Dit omvat ook Locky, BitPaymer, Philadelphia, GlobeImposter, Jaff ransomware-soorten.

“De nieuwe campagne maakt gebruik van HTML-omleidingen die aan e-mails zijn toegevoegd. Wanneer geopend, leidt de HTML naar de download Dudear, een kwaadaardig macro-beladen Excel-bestand dat de nuttige lading laat vallen. In tegenstelling tot vorige Dudear e-mailcampagnes droegen de malware als een bijlage of gebruikten kwaadaardige URL’s.” – Onderzoekers van Microsoft Security Intelligence.

Bij het openen van de HTML-bijlage downloadt het slachtoffer automatisch het Excel-bestand. Zodra ze het openen, is dit wat ze tegenkomen:

Zodra het doelwit op “Enable Editing” klikt, zoals hen in het document wordt opgedragen, zullen ze de malware op hun systeem ontketenen. Na dit punt zal hun apparaat ook worden geïnfecteerd met een IP-traceback-service, die “de IP-adressen van machines volgt die het schadelijke Excel-bestand downloaden.”

Threat Analytics-rapport  
(Microsoft)

Daarnaast bevat de malware GraceWire, een info-stelende trojan, die gevoelige informatie verzamelt en deze via een command-and-control-server teruggeeft aan de daders.

Bekijk de volledige lijst met Indicators of Compromise (IOC’s), inclusief SHA-256 hashes van de malware voorbeelden die in de campagne worden gebruikt:

Microsoft Defender ATP research team

Pin It on Pinterest