Skadevaredistributører har tilsynelatende satt i gang en ny og omfattende kampanje hvor det sendes ut epostmeldinger som inneholder krypterte Word-dokumenter som også inneholder skadevare. Dette skriver Bleeping Computer.
I seg selv virker dette kanskje ikke så oppsiktsvekkende, ja til og med litt merkelig. For man trenger nemlig et passord for å åpne de krypterte Word-dokumentene.
Nå er det slik at dokumentene ikke er kryptert for at mottakerne ikke skal kunne lese dem – tvert imot er passordet oppgitt i selve eposten. Hensikten med krypteringen er i stedet å hindre antivirusprogramvare å kunne analysere vedleggene.
Ursnif
Selve epostmeldingene er i dette konkrete tilfellet på engelsk og oppgir at vedlegget er en faktura. Dersom eposten ser ut til å stamme fra en avsender som er kjent for mottakeren, er det ikke usannsynlig at mottakeren vil forsøke å åpne vedlegget – selv om det kanskje er litt uvanlig å passordbeskytte og kryptere fakturaer.
Uansett, når man først åpner vedlegget, så blir brukeren presentert et Word-dokument som inneholder ytterligere tre integrerte dokumenter. Klikker man på et av disse, vil man ifølge Bleeping Computer bli spurt om å kjøre en VBScript-fil. En oppmerksom bruker vil nok stoppe her, men oppmerksomheten er ikke alltid på topp i en hektisk hverdag.
Åpner man filen, vil det bli lastet ned en DLL-fil på systemet, etterfulgt av at spionvaren Ursnif installeres.
Det finnes en rekke varianter av Ursnif. Ifølge Microsoft kan Ursnif blant annet stjele informasjon fra det infiserte systemet, inkludert tastetrykk, innhold i utklippstavlen, skjermbilder, sertifikater, cookies og dokumenter, men også informasjon som sendes ukryptert over nettverk.
Leste du denne? – Slik kan Windows-maskiner angripes og beskyttes