Post Image

Wirus alert! Trojan NetWire rozpowszechniany z wykorzystaniem arkuszy kalkulacyjnych Excel

2020-05-20 14:43:00

Analitycy G DATA zwracają uwagę na nową falę ataków.

Specjaliści z G DATA SecurityLabs ostrzegają przed aktualną falą ataków z wykorzystaniem trojana zdalnego dostępu (RAT) NetWire. Cyberprzestępcy by dotrzeć do swoich ofiar masowo rozsyłają wiadomości spamowe z zainfekowanymi dokumentami Excel. Po udanej infekcji hakerzy mahą pełny dostęp do systemu nad którym przejmują kontrolę administracyjną jednocześnie uzyskując dostęp do danych osobowych i haseł zapisanych na komputerze. Uspokajamy. Klienci G DATA są odpowiednio chronieni przed opisywanym rodzajem ataku.

Trojan zdalnego dostępu (RAT) NetWire stał się ostatnio bardzo aktywny i atakuje systemy Windows na całym świecie. Szkodliwe oprogramowanie jest szeroko rozpowszechnione i znane na wśród cyberprzestępców, a tym samym wykorzystywane już od dłuższego czasu.

Użytkownicy powinni zachować szczególną ostrożność podczas odbierania wiadomości e-mail z załączonymi dokumentami Excel. Przestępcy używają obecnie tej metody do rozpowszechniania trojana zdalnego dostępu o nazwie NetWire. Po otwarciu pliku PowerShell aktywuje i ponownie ładuje dodatkowe dwa pliki za pomocą paste.ee. Jednym z plików jest .NET DLL, który wykonuje drugi plik NetWire, wykorzystując metodę „wstrzykiwania”. Przestępcy mogą następnie używać NetWire do zdalnej kontroli i szpiegowania zainfekowanego komputera. Użytkownicy G DATA są dobrze chronieni przed kampanią NetWire, jeśli zainstalowali oprogramowanie antywirusowe i regularnie aktualizują aktualizacje. Nasze technologie Beast i DeepRay wykrywają to złośliwe oprogramowanie. 

Karsten Hahn
Analityk zagrożeń, G DATA

Jak działa szczur?

Korzystając z Trojanów zdalnego dostęp (z ang. RAT – szczur) takich jak NetWire kryminaliści przejmują całkowitą kontrolę nad zainfekowanym urządzeniem z systemem Windows. Ofiara nie zauważa żadnych zmian w funkcjonowaniu urządzenia, dlatego trojan może siać spustoszenie bez zwracania na siebie uwagi. Przykładowo hakerzy mogą wykradać hasła i dane lub kasować konkretne pliki. Tak zdobyte informacje mogą zostać spieniężone na podziemnych forach pełnych ofert sprzedaży danych dostępowych do bankowości online i osób zainteresowanych ich kupnem.

Hakerzy korzystają ze skryptu PowerShell do inicjacji działania NetWire. Powershell jest elementem usług Microsoft Windows i dość często jest wykorzystywany np. przez działy IT w firmach do automatyzacji pewnych procesów. Jeżeli nie wykorzystujesz możliwości, które oferuje Powershell możesz go dezaktywować. Taką możliwość znajdziesz w ustawieniach systemu Windows.

Media: