Microsoft varnar anvÀndare för spridning av skadlig programvara via Excel-bilagor

Microsoft varnar anvÀndare för spridning av skadlig programvara via Excel-bilagor

“XLS-filen installerar, nĂ€r den klickas, FlawedAmmyy-skadlig programvara, kĂ€nd för att rikta sig till företag i ekonomi och detaljhandel, pĂ„ datorn”

Microsoft har varnat anvÀndare för en ny malware-attack förklÀdd till en Excel-bilaga, riktad mot Windows-datorer. Microsofts sÀkerhetsteam hÀvdar att XLS-bilagan innehÄller en komplex infektionskedja för att ladda ner och köra den ökÀnda FlawedAmmyy RAT direkt i minnet, som anvÀnder makrofunktioner för att attackera Windows-datorer. Enligt Bevis, startas den skadliga kampanjen av en grupp som heter TA505 och FlawedAmmyy Àr ökÀnt kÀnt för att rikta sig till företag i ekonomi och detaljhandel.

Avvikelsedetektering hjÀlpte oss att avslöja en ny kampanj som anvÀnder en komplex infektionskedja för att ladda ner och köra den ökÀnda FlawedAmmyy RAT direkt i minnet. Attacken börjar med ett e-postmeddelande och .xls-bilaga med innehÄll pÄ koreanska sprÄket. pic.twitter.com/PQ2g7rvDQm

– Microsoft Security Intelligence (@MsftSecIntel) 21 juni 2019

Dessutom anvĂ€nder gruppen ofta Microsoft-bilagor och socialteknik för att Ă€ventyra offrens system. Attacken börjar med ett e-postmeddelande som innehĂ„ller en excelbilaga som automatiskt kör en makrofunktion som kör msiexec.exe, som laddar ner ett MSI-arkiv. “Detta MSI-arkiv innehĂ„ller en digitalt signerad körbar som extraheras och körs och som dekrypterar och kör en annan körbar i minnet, ”Noterar Microsoft. Eftersom den skulle köras i minnet upptĂ€cks den inte av ett antivirusprogram som bara skannar filer pĂ„ disken.

Microsoft excel

En fil som heter wsus.exe laddas sedan ner och körs; den Ă€r ocksĂ„ utformad för att kringgĂ„ den officiella Microsoft Windows Service Update Service (WSUS). Det undertecknades digitalt den 19 juni och dekrypterade nyttolasten i RAM och levererade FlawedAmmyy-nyttolasten. Eftersom Excel-bilagan finns i koreanskt skript kan det vara avsett för koreanska Windows-anvĂ€ndare. Microsoft hĂ€vdar att “Microsoft Threat Protection skyddar kunder frĂ„n denna attack.” Defender ATP: s maskininlĂ€rningssystem “blockerade alla komponenter i denna attack vid första anblicken, inklusive FlawedAmmyy RAT-nyttolasten.”