Overslaan en naar de inhoud gaan

Microsoft: Schakel macro's uit in Excel

Microsoft waarschuwt dat hackers een nieuwe campagne zijn gestart die ook netjes beheerde systemen kan infecteren.
Excel
© Microsoft
Microsoft

Ook hier geldt weer: Klik nooit op een e-mail en attachments van afzenders waarvan je niet een dergelijk bericht verwacht. Want ook deze aanval start met een in het Koreaansopgestelde mail met daaraan een xls-bijlage.

Trojan direct geladen in RAM

Het openen van het Excel-spreadsheet zorgt ervoor dat het programma een macro start. Die download vervolgens een MSI-archief met een digitaal ondertekende executable. Die wordt uitgepakt en start automatisch een andere executable 'in memory', een Trojan, genaamd FlawedAmmyy, die hackers van afstand toegang geeft tot het betreffende systeem.

FlawedAmmyy is al eerder ontdekt door IT-beveiliger Proofpoint . De Trojan is afkomstig van een criminele organisatie die Proofpoint de naam TA505 heeft gegeven. TA505 richt zich vooral op ondernemingen in de financiële dienstverlening en winkelbedrijven.

Anti-virus omzeild

Door de complexe infectieroute te gebruiken en de code in memory te starten, omzeilt de malware veel van van de IT-beveiligingssoftware. De huidige versie richt zich met name op Koreaans sprekende medewerkers, gezien de gebruikte taal.

Microsoft zegt inmiddels Windows Defender te hebben aangepast zodat deze software de aanval kan afslaan.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in