Et temmelig upopulære teknik til fordeling af bank-malware er blevet spottet i naturen sidst. Det indebærer kombinationen af ondsindede makroer, Microsoft Word-dokumenter og PDF-filer i ét element.
Metoden bygger på spam e-mails, der indeholder en tilsyneladende uskyldig tekstdokument, som er, faktisk, en eksekverbar fil. Den anden tilgang bruger ved angriberne er at blonder Word-dokumenter med makro scripts, der downloader ondsindet trussel.
Eksperter på Avast rapporterer, at den sidstnævnte teknik er blevet ændret, og nu Word-dokumentet bliver indlejret i en PDF-fil. Især PDF er hvad brugeren ser i spam e-mail.
Af skadelig Email
E-mailen foregiver at være fra en finansiel institution, og at indeholde vigtige detaljer, som er omtalt i en PDF-fil vedhæftet til beskeden. Adobe doc er indlejret med JavaScript-kode og DOC-fil, der indeholder makroen med de ondsindede kommandoer.
Når offeret downloader PDF, JavaScript tabes, og DOC udføres. Brugeren er stadig den ene for at aktivere koden i makroen, men fordi det er deaktiveret af Microsoft Office som standard. Den ondsindede kode tilslører DOC-filer, da det skaber nye dokumenter, der har unikke variabelnavne, metoder navne, og webadresser. På denne måde bliver det ganske svært at identificere de skadelige filer, eksperter forklare.
Dridex Banking Trojan
Da forskerne var at analysere makro, de har fundet ud af, at det er forbundet til URL'er unikke for hver malware prøve - en version af Dridex bank Trojan.
Angriberne har til formål at få deres hænder på bank-legitimationsoplysninger, der vil give dem adgang til ofrets konti. Logins til Microsoft og Google-tjenester er også målrettet.
Blandt de banker, hvis kunder var rettet, er:
- Santander (OS)
- Ulster (Irland)
Sikkerhedseksperter opfordre brugerne til at køre de nyeste versioner af AV-værktøj, de har installeret på deres computere. Det er vigtigt, at brugerne er opmærksomme på mistænkelige e-mails, der hævder at indeholde vigtige data i vedhæftede filer, og kontrollere de oplysninger, før du downloader nogen dokumenter.