Pénzt ígért a webes Word dokumentum

Megtévesztő Word dokumentum kártevővel

Rafinált megoldást találtak a kiberbűnözők arra, hogy a felhasználókat rávegyék az Emotet trójai telepítésére: úgy tűnik, mintha egy online Word dokumentum megnyitásához kellene futtatni egy kiegészítőt, miközben a háttérben valójában egy trójai telepítődik. Védekezni odafigyeléssel, vírusellenes megoldással lehet.

A támadás során a bűnözők hamisított email küldenek a felhasználóknak, mely úgy néz ki, mintha a barátunktól érkezne. Ebben az e-mailben pénzvisszafizetést, kedvezményt ígérnek, ehhez csak ki kell nyitni a csatolt Word dokumentumot.

A csavar pedig itt jelentkezik: a dokumentum formázása az online Word felületét utánozza, és ettől igazán megtévesztő. Arra kéri a felhasználót, kattintson az Enable editing gombra, majd válassza az Enable content lehetőséget. Ezzel azt imitálják, hogy kiegészítő tartalom telepítésére van szükség ahhoz, hogy az ígért kedvezményhez hozzájussunk.

A gyakorlatban azonban a háttérben egy Word makrót futtatnak le, amely kinyitja a Windows Powershellt, majd további kártevőt tud telepíteni a gépre. A makró valóban az Emotet trójai, amely visszavonhatatlanul beágyazódhat egy adott rendszerbe, majd hátsó ajtót nyit további kártevők telepítéséhez.

Ezután a bűnözők a számítógépen egy futtatható (.exe) fájlt mentenek el az ideiglenes állományok tárolására szolgáló mappában, melynek három véletlenszerű számból alakítják ki a nevét. Majd ezután négy, valószínűleg korábban megfertőzött, és az ellenőrzésük alatt lévő weboldalra látogatnak el: colexpresscargo.com, notehashtom.ir, corporaciondelsur.com.pe és farmasi.uin-malang.ac.id.

A jó hír az egészben, hogy az átgondolt támadás ellen a G DATA megoldása védi a felhasználókat.

Pár alapvető biztonsági elv betartásával pedig magunk is tehetünk biztonsági szintünk növeléséért.

  1. Például soha se nyissuk meg a kéretlen e-maileket. Ha mégis megnyitottuk, ne kattintsunk a benne lévő linkekre, ne nyissuk meg a csatolmányt sem.
  2. Ha úgy tűnik, barátunktól, ismerősünktől érkezne a levél, egy gyors telefonhívással, üzenetváltással meggyőződhetünk, hogy tényleg tőle érkezett.
  3. Az email header-je is elárulja, hogy pontosan milyen email címről is érkezett a levél.
  4. Végül azt is tartsuk szem előtt, hogy a kártevőt telepítő Word makrókat az egyéni felhasználóknak általában nem is kell aktiválniuk, így a makrók futtatása ki is kapcsolható a gépen.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.