Dostałeś dokument Word z niewiadomego źródła? To może być phishing 🔔
W swoim najnowszym komunikacie Virus Bulletin poinformował, że atakujący wykorzystują polecenie Finger w systemie Windows do pobrania i zainstalowania backdoora Minebridge na zaatakowanym komputerze.
Wspomniane polecenie Finger to narzędzie wywodzące się z systemów operacyjnych Linux / Unix. Umożliwia ono lokalnemu użytkownikowi pobranie listy użytkowników zdalnych maszyn lub informacji o konkretnym użytkowniku zdalnego komputera. System Windows również umożliwia obsługę polecenia finger.exe z dostępem do tej samej funkcjonalności. O ile zwykłe działanie tego polecenia nie powoduje zagrożenia, uśpiona czujność użytkowników poczty e-mail skutkuje podatnością na atak z kradzieżą danych w tle.
Phishing z backdoorem MineBridge - co warto wiedzieć
MineBrigde wykryto po raz pierwszy w kontekście ataku sprzed około roku, a jego celem były wówczas liczne organizacje w Korei Południowej. Wówczas atak wyglądał tak, że adresat e-maila otrzymywał na swoją skrzynkę wiadomość, której treść dotyczyła kandydata rekomendowanego do pracy. W załączniku znajdował się pozornie zwyczajny dokument CV, który jednak w rzeczywistości zawierał niebezpieczny backdoor.
Także tym razem źródłem ataku phishingowego jest e-mail z załącznikiem, który przypomina CV. W wiadomości e-mail zawarty jest załącznik w postaci dokumentu MS Word, a po jego otwarciu automatycznie pojawia się komunikat widoczny poniżej. Zawiera on prośbę o udzielenie zgody na edycję („enable editing” – włącz edycję) oraz wykonywanie makr („enable content” – ang. włącz zawartość). W wyniku naciśnięcia przycisku i wyrażenia zgody następuje instalacja złośliwego oprogramowania.
Polecenie Finger jest używane bardzo rzadko, dlatego sugeruje się, żeby administratorzy sieci blokowali w swojej organizacji możliwość jego uruchomienia.
Jeśli ciekawi Was szczegółowa analiza nowego zagrożenia, została ona przedstawiona w artykule na portalu BleepingComputer.
Podejrzane załączniki = potencjalne źródło ataku 👀❗
Powyższy atak z wykorzystaniem polecenia finger nie był pierwszym, w którym złośliwe oprogramowanie podszywa się pod dokument programu MS Word. Już w listopadzie 2020 r. zespół CERT działający przy T-Mobile informował o zagrożeniu, które wykorzystuje przesyłany dokument MS Word.
Niebezpieczne załączniki w wiadomościach e-mail często wyglądają na pliki znajomo wyglądające i na pierwszy rzut oka mogą nie wzbudzać podejrzeń. Niezależnie od tego, czy wiadomość pochodzi od osób, które znamy, czy z nieznanego adresu, zawsze powinniśmy zachować czujność.
Bez wątpienia należy unikać otwierania potencjalnie niebezpiecznych plików oraz klikania podejrzanych poleceń i komunikatów. Pozwoli to ograniczyć ryzyko naruszeń bezpieczeństwa, wycieku danych, a także utraty poufnych informacji i plików.
