torsdag 14 januari 2016

Falska skannade dokument laddar ner virus

Under torsdagen noterade IT-säkerhetsföretaget WeCloud stora mängder tomma e-postmeddelanden innehållande en Microsoft Word-fil. Wordfilen innehåller ett macro som automatiskt försöker ladda ner en och exekvera skadlig kod som stjäl information från webbläsaren i det infekterade systemet. Öppna inte den bifogade filen om du mottagit liknande meddelanden från "local network scanner".



WeCloud's system skyddar dig från de nu kända varianterna av den skadliga koden och de flesta varianter av det förfalskade meddelandet blockeras även i WeCloud Email Security. I SecureAnywhere Endpoint Protection kallas den skadliga koden "Infostealer.Dridex.Gen" och har en global klassificering som "bad" sedan den 14:e Januari, 14:43.

WeCloud har analyserat flera exemplar från den pågående attacken som ser ut att drabba svenska e-postmottagare hårt. I flera fall är avsändaren en välkänd adress som förfalskats. E-postmeddelandet skickas från flera olika servrar, bl.a. placerade i Indonesien och ämnesraden är "Message from local network scanner". Läs gärna mer om hur du förhindrar att din egen domän används som förfalskad avsändare här!

Genom att ange "Message from local network scanner" som ämnesrad försöker angriparen att lura mottagaren att meddelandet innehåller ett skannat dokument från en lokal skanner. 

Meddelandet är tomt förutom en bifogad Word-fil med varierande namn, t.ex. "Scann16011310150.doc". Öppna inte den bifogade filen! Den bifogade Word-filen kör per automatik ett skript som i sin tur försöker ladda hem en exekverbar fil från servrar bl.a. i Oklahoma, USA. Flera av de servrar som WeCloud granskat har redan rensat bort den exekverbara filen och därav minskat konsekvenserna av den pågående attacken.



I skrivandets stund är det endast 5 av de traditionella antivirusmotorerna på VirusTotal som klassar filen som skadlig. Den skadliga koden försöker komma över information från webbläsare, t.ex. lösenord och annan personlig information.

Om du använder WeCloud's molnbaserade webbfilter kan det vara idé att försäkra dig om att det finns en policy som beskriver vilka användare som har möjlighet att ladda ner exekverbara filer från okända webbsidor.

Läs mer om hur Makro-virus fortsätter lura användarna här.

www.wecloud.se
info@wecloud.se