Microsoft warnt vor „massiver“ #COVID19 RAT

Microsoft warnt vor einer großen neuen COVID-19-Phishing-Kampagne, bei der bösartige Excel-Makros verwendet werden, um über ein legitimes Support-Tool Fernzugriff auf die Rechner der Opfer zu erlangen.

Der Microsoft-Sicherheitsdienst veröffentlicht die Nachricht in einer Reihe von Tweets und behauptete, die Kampagne habe am 12. Mai begonnen.

Microsoft warnt vor „massiver“ #COVID19 RAT

„Die E-Mails geben vor, vom Johns Hopkins Center zu stammen und tragen den Titel ‚WHO COVID-19 SITUATION REPORT‘. Die Excel-Dateien öffnen sich mit einer Sicherheitswarnung und zeigen eine Grafik mit angeblichen Coronavirus-Fällen in den USA. Wenn es ausgeführt werden darf, lädt das böswillige Excel 4.0-Makro NetSupport Manager RAT herunter und führt es aus“, wird erklärt.

„Seit einigen Monaten beobachten wir eine stetige Zunahme der Verwendung von bösartigen Excel 4.0-Makros in Malware-Kampagnen. Im April sprangen diese Excel 4.0-Kampagnen auf den Zug auf und begannen mit der Verwendung von COVID-19-Themen als Köder.

In dieser Hinsicht ähnelt die Kampagne vielen anderen Kampagnen, die in den letzten Wochen und Monaten gestartet wurden, wobei Cyberkriminelle bestehende Inhalte effektiv mit COVID-19-Themen versehen, um die Erfolgsraten zu erhöhen.

Google gab an, täglich über 240 Millionen Spam-Nachrichten mit COVID-Themen sowie 18 Millionen Malware- und Phishing-E-Mails blockiert zu haben.

„Die Hunderte von einzigartigen Excel-Dateien in dieser Kampagne verwenden stark verschleierte Formeln, aber alle sind mit derselben URL verbunden, um die Malware herunterzuladen.

NetSupport Manager ist dafür bekannt, dass es von Angreifern missbraucht wird, um Fernzugriff auf kompromittierte Rechner zu erlangen und Befehle auf diesen Rechnern auszuführen“, sagte Microsoft über die jüngste RAT-Kampagne.

„Die in dieser Kampagne verwendete NetSupport RAT lädt außerdem mehrere Komponenten herunter, darunter mehrere .dll-, .ini- und andere .exe-Dateien, ein VBScript und ein verschleiertes PowerSploit-basiertes PowerShell-Skript. Es stellt eine Verbindung zu einem C2-Server her, so dass Angreifer weitere Befehle senden können.

In Großbritannien sollten diese Art von E-Mails an den Verdachtsmeldedienst des National Cyber Security Centre gemeldet werden, doch dazu ist zunächst die geistige Präsenz der Mitarbeiter erforderlich.

„Der Rat für Organisationen und Mitarbeiter lautet, wachsam gegenüber dieser neuen Art von Bedrohung zu bleiben und so regelmäßig wie möglich Schulungen durchzuführen, um sicherzustellen, dass der Einzelne auf dem Laufenden bleibt“, riet Tarik Saleh, Malware-Forscher bei DomainTools. „Phishing ist im Kern ein Angriff auf Menschen, und Menschen sind nach wie vor die beste Verteidigung gegen Phishing, und sie stellen nicht nur sicher, dass die korrekten Verfahren beibehalten werden.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.