В момента тече целенасочена фишинг атака с използване на SLK прикачени файлове срещу тринадесет компании, като някои от тях са добре известни марки. Целта е да бъде получен достъп до техните корпоративни мрежи.
Успешното компрометиране на голяма корпоративна мрежа е златна мина за извършителите, тъй като това им позволява да крадат корпоративни тайни и частни финансови документи, да извършват корпоративни атаки за откуп и да крадат файлове, които да се използват при опити за изнудване.
Открита е нова фишинг кампания, насочена към тринадесет компании със специално изработени имейли, които се претендират, че са от доставчик или клиент на компанията.
Тези компании, изброени по-долу, варират от големи международни компании до известни марки като Glad и Hasbro.
Компания Сектор
A2B Australia Limited Софтуер
Asarco LLC Добивна промишленост
AusNet Services Комунални услуги
Bega Cheese Хранителна промишленост
Boc Group Inc Химия
Glad Products Company Опаковки
Hasbro Забавление
Hydratight Индустриaлно машиностроене
Iridium Телеком
Messer LLC Химия
MutualBank Банкиране
Pact Group Опаковки
Sappi North America Дърводобив и производство на хартия
Целенасочената фишинг атака
Когато изпраща имейли до целевите компании, престъпникът ще се представи за един от доставчиците или клиентите на компанията за извършване на бизнес транзакция.
Към тези имейли са приложени SLK файлове, наречени на компанията. Например, прикачените файлове в имейлите, насочени към Messer, ще бъдат наречени „Messer LLC.slk“.
SLK (Symbolic Link) файл е файлов формат на Microsoft, използван за споделяне на данни между електронните таблици на Microsoft Excel. Поради това ще се покаже SLK файл с икона на Excel, както е показано по-долу.
Когато SLK файловете се отворят, потребителят ще бъде подканен да извърши „Активиране на редактиране“ или „Активиране на съдържанието“ за правилното показване на електронната таблица.
Ако съдържанието е активирано, командите във SLK файла ще бъдат изпълнени, което обикновено се използва за вмъкване на данни в определени клетки на електронната таблица.
За споделяне на данни между електронни таблици, SLK файловете могат да изпълняват команди на компютъра с помощта на командата EEXEC Excel.
Както е показано по-долу, тези злонамерени SLK прикачени файлове използват команди EEXEC, за да създадат партиден файл в папката% Temp% и след това да го изпълнят.
Този пакетен файл ще се опита да използва Msiexec за стартиране на MSI файл, съхраняван на отдалечен сайт. Полезният товар е RAT на NetSupport Manager.
Когато NetSupport Manager е инсталиран на компютъра на жертвата, той позволява на нападателя да контролира дистанционно компютъра и да получи достъп до корпоративната мрежа.
Това би позволило на престъпника да заразява други хостове в мрежата и потенциално да получи достъп до потребител с администраторски права.
След като администраторските привилегии са придобити, това може да доведе до пълно компрометиране на мрежата, до инсталиране на софтуер, извършване на измами с BEC или кражба на данни.
За да защитите себе си и корпоративните си мрежи от насочени фишинг атаки като тази, се препоръчва винаги да се свържете с подателя на неговия корпоративен номер.
Макар да им се обаждате да потвърдят, това добавя още една задача към натоварения график, но също така ще ви даде спокойствие, че имейлът е легитимен.
По-добрият вариант е да закупите за корпоративната си мрежа Рanda Adaptive Defense 360 и да бъдете спокойни, че всеки един зловреден процес ще бъде прекъснат.
Източник: По материали от интернет