En ganska impopulär teknik för distribution av bank malware har setts i naturen nyligen. Det handlar om en kombination av skadliga makron, Microsoft Word-dokument och PDF-filer till ett objekt.
Metoden bygger på skräppostmeddelanden som innehåller en till synes oskyldig textdokument, vilket är, faktiskt, en körbar fil. Det andra tillvägagångssättet användare av angriparna är att snöra Word-dokument med makro skript som hämtar den skadliga hot.
Experter på Avast rapporterar att den senare tekniken har ändrats och nu Word-dokumentet är inbäddad i en PDF. Särskilt PDF är vad användaren ser i spam e-post.
Den skadliga Email
E-postmeddelandet utger sig för att vara från ett finansinstitut och innehåller viktiga detaljer, som beskrives i en PDF-fil bifogas meddelandet. Adobe doc är inbäddad med JavaScript-kod och DOC-fil som innehåller makrot med skadliga kommandon.
När offret hämtar PDF, JavaScript droppas, och DOC utförs. Användaren är fortfarande en för att aktivera koden i makrot, men eftersom det har inaktiverats av Microsoft Office som standard. Den skadliga koden skymmer DOC-filer eftersom det skapar nya dokument som har unika variabelnamn, metoder namn, och webbadresser. På så sätt blir det ganska svårt att identifiera de skadliga filer, experter förklara.
Dridex Banking Trojan
Som forskare var att analysera makro, De har funnit att det är ansluten till webbadresser unikt för varje malware prov - en version av Dridex bank Trojan.
Angriparna syftar till att få tag på bank meriter som ger dem tillgång till offrets konton. Inloggningar för Microsoft och Google-tjänster är också riktad.
Bland bankerna, vars kunder riktade, är:
- Santander (USA)
- Ulster (irland)
Säkerhet experter uppmanar användare att köra de senaste versionerna av AV-verktyg de har installerat på sina datorer. Det är viktigt att användarna uppmärksamma misstänkta e-postmeddelanden som hävdar att innehålla viktiga data i bifogade filer, och verifiera informationen innan du laddar ner några dokument.