Istraživači za računalnu sigurnost iz Palo Alto Networksa analizirali su nedavne spam kampanje te su otkrili da hakeri sve više koriste ciljane napade na poslovne e-mail adrese iz SAD-a, Kanade i Europe. E-mailovi sadrže ime primatelja i informacije o tvrtki što znatno povećava vjerojatnost da će žrtva otvoriti e-mail. Privitak u spam poruci je Word dokument s malicioznom macro naredbom koja pokreće skrivenu instancu powershell.exe koji provjerava radi li se o 32-bitnom ili 64-bitnom OS-u te s obzirom na to preuzima novu PowerShell skriptu koja provjerava radi li se o virtualnom stroju ili sigurnosnom okruženju. Nakon toga skenira konfiguraciju mreže u potrazi za riječima kao što su: school, hospital, college, teacher, student, orthoped, ali i POS, store, shop i sale. Cilj kampanje je pronaći sustave u kojima se provode financijske transakcije, a pritom izbjeći sustave koji pripadaju istraživačima za sigurnost, ali i medicinske i edukacijske ustanove. Samo sustavi koji odgovaraju cilju napada su prijavljeni C&C poslužitelju i na njih se preuzimaju maliciozne šifrirane DLL datoteke koje su direktno učitane u radnu memoriju tako da ne ostanu na tvrdom disku što otežava detekciju. Malver također kreira ključ u windows registru koji pokreće skrivenu instancu PowerShella kad se pokrene sustav. Kombinacija tehnika koje ovaj malver koristi čini ga vrlo opasnim jer ga je teško otkriti.
$downloadlink = get_field('download_link'); ?>Hakeri sve više koriste word dokumente s malicioznim macro naredbama
Izvor: Network World