Beheer

Security
Excel

Microsoft: Schakel macro's uit in Excel

Volledig gepatchte machines kwetsbaar voor nieuwe giftige Excel-macro.

© Microsoft
25 juni 2019

Volledig gepatchte machines kwetsbaar voor nieuwe giftige Excel-macro.

Microsoft waarschuwt dat hackers een nieuwe campagne zijn gestart die ook netjes beheerde systemen kan infecteren.

Ook hier geldt weer: Klik nooit op een e-mail en attachments van afzenders waarvan je niet een dergelijk bericht verwacht. Want ook deze aanval start met een in het Koreaansopgestelde mail met daaraan een xls-bijlage.

Trojan direct geladen in RAM

Het openen van het Excel-spreadsheet zorgt ervoor dat het programma een macro start. Die download vervolgens een MSI-archief met een digitaal ondertekende executable. Die wordt uitgepakt en start automatisch een andere executable 'in memory', een Trojan, genaamd FlawedAmmyy, die hackers van afstand toegang geeft tot het betreffende systeem.

FlawedAmmyy is al eerder ontdekt door IT-beveiliger Proofpoint . De Trojan is afkomstig van een criminele organisatie die Proofpoint de naam TA505 heeft gegeven. TA505 richt zich vooral op ondernemingen in de financiële dienstverlening en winkelbedrijven.

Anti-virus omzeild

Door de complexe infectieroute te gebruiken en de code in memory te starten, omzeilt de malware veel van van de IT-beveiligingssoftware. De huidige versie richt zich met name op Koreaans sprekende medewerkers, gezien de gebruikte taal.

Microsoft zegt inmiddels Windows Defender te hebben aangepast zodat deze software de aanval kan afslaan.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.