Τρίτη, 4 Αυγούστου, 11:45
Αρχική security Avaddon ransomware: Επιτίθεται μέσα από τις μακροεντολές του Excel 4.0

Avaddon ransomware: Επιτίθεται μέσα από τις μακροεντολές του Excel 4.0

Η Microsoft ανακοίνωσε χθες ότι το Avaddon ransomware εξαπλώθηκε αυτήν την εβδομάδα μέσω μιας παλιάς τεχνικής που ξανά ήρθε στο προσκήνιο. Οι επιθέσεις που χρησιμοποιούν αυτό το ransomware φαίνεται να είναι πιο στοχευμένες, ενώ βασίζονται σε κακόβουλες μακροεντολές του Excel 4.0 για να κατεβάσουν το κακόβουλο λογισμικό απευθείας σε ένα σύστημα.

Πρόκειται για μία εκστρατεία που είχε ως επίκεντρο την Ιταλία. Συγκεκριμένα, αυτό το κακόβουλο λογισμικό κρυπτογράφησης αρχείων εμφανίστηκε στις αρχές Ιουνίου, και μόλυνε χρήστες ως μέρος μιας μαζικής εκστρατείας ανεπιθύμητων μηνυμάτων (spam). Οι χειριστές του malware προσελκύουν συνεργάτες για τη διάδοση του ransomware payload.

excel 4.0

Η Microsoft Security Intelligence επεσήμανε πως η τελευταία προσπάθεια των χάκερς που βρίσκονται πίσω από αυτή την εκστρατεία, είχε συγκεκριμένους στόχους κυρίως στην Ιταλία, ενώ έστελνε email με αρχεία που περιείχαν κακόβουλες μακροεντολές του Excel 4.0.

avaddon

Ένα τέτοιο email που βρήκε ένας κυνηγός malware με το όνομα JamesWT_MHT, παρουσιάζεται με τη μορφή ειδοποίησης που υποτίθεται ότι προέρχεται από την Επιθεώρηση Εργασίας και απευθύνεται σε μια μικρή επιχείρηση, θέλοντας να την ενημερώσει για παραβιάσεις στον χώρο εργασίας κατά τη διάρκεια μιας περιόδου κρίσης, όπως για παράδειγμα η υφιστάμενη πανδημία του COVID-19. Στόχος των email υποτίθεται πως είναι να προειδοποιήσουν τους παραλήπτες τους για επικείμενες κυρώσεις και πιθανές νομικές ενέργειες. Επιπλέον, στο συνημμένο υπάρχει ένα αρχείο ZIP με το όνομα “Επίσημη ειδοποίηση”. Επίσης, το συνημμένο περιέχει μια μακροεντολή του Excel 4.0 (XML), η οποία είναι συμβατή και με σύγχρονα λογισμικά όπου χρησιμοποιείται ο κώδικας VBA.

Όταν εκτελείται, η μακροεντολή κατεβάζει απευθείας ένα δείγμα του Avaddon ransomware, χωρίς ενδιάμεσο downloader. Πρόκειται για μία τεχνική που παρατηρήθηκε πρόσφατα και σε άλλoυς κακόβουλους ηθοποιούς κρυπτογράφησης αρχείων. Η χρήση της παλιάς μακροεντολής είναι αποτελεσματική. Η επιλογή μακροεντολών του Excel 4.0 για τη διάδοση του κακόβουλου λογισμικού μπορεί να φαίνεται περίεργη, δεδομένου ότι αυτό κυκλοφόρησε στα προϊόντα του Microsoft Office πριν από 28 χρόνια. Ωστόσο, το Avaddon και πολλοί άλλοι κακόβουλου ηθοποιοί άρχισαν πρόσφατα να τις χρησιμοποιούν.

avaddon ransomware

Στην περίπτωση του Avaddon, αυτό φαίνεται να αποφέρει αποτελέσματα καθώς η ID Ransomware ιστοσελίδα έλαβε μεγάλο αριθμό υποβολών από τα στοχοποιημένα θύματα. Η άνοδος σημειώθηκε στις 18 Ιουνίου, 28 και 30 Ιουνίου, κάτι που συνάδει με τις παρατηρήσεις της Micosoft. Ενώ πρόκειται για μία παλιά τεχνική, οι κακόβουλες μακροεντολές του Excel 4.0 γίνονται όλο και πιο δημοφιλείς σε malware εκστρατείες τους τελευταίους μήνες. Αυτή η τεχνική έχει υιοθετηθεί από πολλές εκστρατείες, συμπεριλαμβανομένων εκείνων που εκμεταλλεύονται την πανδημία του COVID-19 για να εξαπατήσουν τα υποψήφια θύματα.


Έχοντας κυκλοφορήσει το 1992, το Excel 4.0 χρησιμοποιεί XML-based μακροεντολές που αποθηκεύουν συναρτήσεις σε αρχεία BIFF (Binary Interchange File Format). Επομένως, είναι πολύ πιο δύσκολο να αναλυθούν, σε σύγκριση με τις μακροεντολές VBA που χρησιμοποιούνται από το Excel 5.0.

Η Microsoft παρατήρησε αύξηση των malware email εκστρατειών που χρησιμοποιούν μακροεντολή του Excel 4.0 τους τελευταίους μήνες, ενώ επισημαίνει πως από τον Απρίλιο, η ομάδα που βρίσκεται πίσω από την εκστρατεία του Avaddon ransomware, άρχισε να χρησιμοποιεί τον COVID-19 ως “δόλωμα” για να προσελκύσει τα υποψήφια θύματα.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

Google: Απαγορεύει ads που συνδέονται με hacked πολιτικό περιεχόμενο!

Λίγο καιρό πριν τις φετινές προεδρικές εκλογές των ΗΠΑ που θα διεξαχθούν τον Νοέμβριο, η Google ανακοίνωσε μια νέα πολιτική για τη...

NetWalker ransomware: Πάνω από $ 25 εκατομμύρια τα κέρδη για τη συμμορία του απ’τον Μάρτιο

Οι χειριστές του NetWalker ransomware εκτιμάται ότι έχουν κερδίσει πάνω από $ 25 εκατομμύρια από πληρωμές λύτρων που έχουν καταβάλει θύματά τους...

Elon Musk: «Προφανώς οι εξωγήινοι έχτισαν τις πυραμίδες»

Την Παρασκευή, ο Elon Musk έγραψε σε tweet: «Προφανώς οι εξωγήινοι έχτισαν τις πυραμίδες,» και συγκέντρωσε πάνω από 500.000 likes.
00:01:54

Ο Microsoft Edge συμπεριφέρεται ως ένα κακόβουλο λογισμικό

Η Microsoft έχει περάσει σε τακτικές επιθετικού marketing προσπαθώντας να κάνει τους χρήστες των Windows 10 να υιοθετήσουν το νέο πρόγραμμα περιήγησης...

Cyble: προειδοποιεί για 199 παραβιάσεις δεδομένων

Πραγματοποιώντας την καθιερωμένη έρευνά της στα dark web και deep web, η Cyble εντόπισε 199 παραβιάσεις δεδομένων σε διάφορους ιστότοπους και εταιρείες....

H Cortana της Microsoft αποχαιρετά τα Android και iOS

Σε μια ανακοίνωση που δημοσιεύτηκε στις 31 Ιουλίου, η εταιρεία δήλωσε ότι θα αποσύρει την εικονική βοηθό Cortana από συσκευές iOS και...

2gether: Hacking επίθεση στην πλατφόρμα συναλλαγών κρυπτονομισμάτων

Η 2gether αποκάλυψε ότι δέχτηκε hacking επίθεση, κατά την οποία κλάπηκαν περίπου 1,2 εκατομμύρια Ευρώ σε κρυπτονομίσματα από επενδυτικούς λογαριασμούς σε κρυπτονομίσματα....

Google: 11 ευπάθειες zero day εντοπίστηκαν το πρώτο εξάμηνο του 2020

Όπως αναφέρει η ομάδα Project Zero της Google, εντοπίστηκαν 11 ευπάθειες zero day, οι οποίες εκμεταλλεύονταν από κακόβουλους παράγοντες, μέσα στο πρώτο...

Linux Kernel 5.8: Κυκλοφόρησε με αμέτρητες βελτιώσεις και αλλαγές

Πρόσφατα, ο Linus Torvalds ανακοίνωσε την κυκλοφορία του Linux kernel 5.8. Σύμφωνα με αυτόν, το νέο kernel...

Μολδαβός δήλωσε την ενοχή του για τη δημιουργία του FastPOS malware!

Ένας 30χρονος άνδρας από τη Μολδαβία ομολόγησε την ενοχή του για τη δημιουργία του FastPOS malware που μολύνει τα συστήματα POS παγκοσμίως....