מתקפת פישינג חדשה עושה שימוש בקובץ וורד המצורף להודעת אימייל, אשר בכדי לקרוא את תוכנו מתבקשים הנמענים לאפשר הפעלת מאקרו. מרגע ההפעלה...
מתחיל באופן מידי תהליך של התקנת קוד עויין מסוג סוס טרויאני על המחשב.
הודעת האי-מייל נראית כהודעה פנים ארגונית תמימה, אשר מכילה צרופה (Attachment) בקובץ וורד אשר שמו Financial Statement.doc.
לאחר שמורידים את הקובץ ופותחים אותו לצפיה התוכן נראה מטושטש ובלתי קריא, ובראש הדף מופיעה הודעה אשר מציינת כי הטקסט טושטש במכוון לצורך אבטחה, ובמידה ומעוניינים לקרוא את המסמך ולהסיר את הטשטוש יש לאפשר הפעלת מאקרו במסמך ע"י לחיצה על הכפתור המתאים בוורד, אשר נמצא מתחת לסרגל הכלים.
באם המשתמש אכן מאפשר את פעולת המאקרו, מתחילה התקנת הקוד העויין על גבי המחשב - הפעלת המאקרו מפעילה בתורה סקריפט ב-Visual Basic אשר בהמשך מפעיל סקריפט נוסף (ב-PowerShell) אשר עם הפעלתו מוריד את קובץ הקוד העויין מכתובת ייעודית באינטרנט ומתקין אותו על גבי המחשב.
טכניקה זו מקטינה מאוד את הסיכוי לזיהוי הקוד העויין ע"י מערכות ההגנה הארגוניות ואלו אשר מותקנות על המחשב; זאת מכיוון שמערכות אנטי-וירוס מתקשות לזהות קוד עויין אשר נמצא בתוך פקודות מאקרו אשר נמצאות בתוך קובץ וורד.
הקוד העויין עצמו הינו סוס טרויאני בעל יכולות keylogging והעתקת תוכן ה-Clipboard, ונראה שמטרתו העיקרית הינה להשיג גישה למערכות נוספות ברשת באמצעות השגת פרטי המשתמש וגניבת זהותו.
לידיעה המקורית - כאן