Ny trojan utnyttjar lömsk attackkedja

Och luckor i Windows

Cybersäkerhetsföretaget Fortinet släpper i dag en ny rapport kring att man observerat en ny typ av Midge Dropper-trojan. Den här specifika varianten riktar in sig på medarbetare som arbetar från distans och har en förhållandevis lömsk attackkedja, som utnyttjar begränsningar i Windows för att undvika upptäckt.

Attacken inleds med en skadlig arkivfil med namnet "!PENTING_LIST OF OFFICERS.rar.". Den filen innehåller i sin tur två andra filer: en PDF-fil med namnet Notice to work-from-home-groups.pdf, samt en körbar .exe-fil med namnet 062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe. Notera PDF-tillägget i sistnämnda, som är bärande för att attacken ska lyckas.

PDF-filen består av en bild på ett felmeddelande, som säger att PDF-dokumentet misslyckats att laddas in. Detta ska få mottagaren att istället klicka vidare på 062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe-filen, som installerar skadliga filer på mottagarens enhet.

PDF-tillägget i filnamnet finns där dels för att mottagaren ska bli förvirrad och tro att det rör sig om en faktisk PDF och inte ett körbart program, dels för att komma runt filtilläggsvyn i Utforskaren i Windows.

Standardinställningarna i Windows döljer nämligen filtillägg och gör det därför svårt att upptäcka .exe-filen i fråga. Fortinet rekommenderar därför att aktivera filtillägsvyn i Utforskaren.

– Nätkriminella är lömska och snabba på att identifiera sårbarheter och anpassa attacker därefter. Överlag behöver medarbetare vara försiktiga med misstänkt e-post, särskilt om den innehåller bilagor eller länkar till webbsidor. Det gäller helt enkelt att ha goda interna säkerhetsrutiner på plats, säger Andreas Gotthardsson, director systems engineering på Fortinet i Sverige.

Hela rapporten finns att läsa här

2023-09-27 - Industritorget