Microsoft: Schakel macro's uit in Excel

Trojan direct geladen in RAM

Het openen van het Excel-spreadsheet zorgt ervoor dat het programma een macro start. Die download vervolgens een MSI-archief met een digitaal ondertekende executable. Die wordt uitgepakt en start automatisch een andere executable 'in memory', een Trojan, genaamd FlawedAmmyy, die hackers van afstand toegang geeft tot het betreffende systeem.

FlawedAmmyy is al eerder ontdekt door IT-beveiliger Proofpoint . De Trojan is afkomstig van een criminele organisatie die Proofpoint de naam TA505 heeft gegeven. TA505 richt zich vooral op ondernemingen in de financiële dienstverlening en winkelbedrijven.

Anti-virus omzeild

Door de complexe infectieroute te gebruiken en de code in memory te starten, omzeilt de malware veel van van de IT-beveiligingssoftware. De huidige versie richt zich met name op Koreaans sprekende medewerkers, gezien de gebruikte taal.

Microsoft zegt inmiddels Windows Defender te hebben aangepast zodat deze software de aanval kan afslaan.

Anomaly detection helped us uncover a new campaign that employs a complex infection chain to download and run the notorious FlawedAmmyy RAT directly in memory. The attack starts with an email and .xls attachment with content in the Korean language. pic.twitter.com/PQ2g7rvDQm

— Microsoft Security Intelligence (@MsftSecIntel) 21 juni 2019