Klik, NetSupport Manager geïnstalleerd, Verbinding server, Data binnen halen of malware installeren, Done_

Gepubliceerd op 30 mei 2020 om 14:30

Microsoft waarschuwt namelijk voor een enorme phishing-operatie die men via Excel uitvoert.

Klik
NetSupport Manager geïnstalleerd
Verbinding server
Data binnen halen of malware installeren
Done_

Nieuwsgierig en misleiding

Zoals elke phishing-campagne begint deze aanval met een e-mail. Je krijgt een e-mail waarbij bijvoorbeeld het gerenommeerde Johns Hopkins Center de afzender blijkt te zijn (spoofing). In de bijlage zie je een gewichtig ogend document, zoals bijvoorbeeld: “WHO Corona health update”

Wanneer je de bijlage opent start Excel Macro’s 4.0, zogezegd om de ‘statistieken’ te tonen. Op de achtergrond wordt direct de NetSupport Manager geïnstalleerd en gestart. Hiermee kan men op afstand de controle tot jouw systemen en data krijgen via de NetSupport RAT (Remote Access Tool). Dat is al gevaarlijk, maar men gaat een stap verder.

Daarna verbinding maken met server

Met het programma NetSupport RAT maakt men verbinding met een C2-server. Via deze server kan men razendsnel data binnen halen of juist allerlei programma’s installeren (malware) om nog meer data van jouw pc te halen.

Gigantische omvang en blijft toenemen

Inmiddels detecteert Microsoft dat de phishing-expeditie een gigantische omvang heeft en blijft toenemen. Er zijn al heel veel computers geïnfecteerd en men verwacht dat dit door het onderwerp (Corona) en vertrouwen in Excel snel uitbreidt. Men heeft zelfs een waarschuwing tweet uitgestuurd.

We’re tracking a massive campaign that delivers the legitimate remote access tool NetSupport Manager using emails with attachments containing malicious Excel 4.0 macros. The COVID-19 themed campaign started on May 12 and has so far used several hundreds of unique attachments. pic.twitter.com/kwxOA0pfXH
— Microsoft Security Intelligence (@MsftSecIntel) May 18, 2020

Vertaling Tweet: We volgen een enorme campagne die de legitieme tool voor externe toegang, NetSupport Manager, levert met behulp van e-mails met bijlagen die schadelijke Excel 4.0-macro's bevatten. De COVID-19-thema-campagne begon op 12 mei en heeft tot nu toe honderden unieke bijlagen gebruikt.

John Hopkins Institute

Ook het John Hopkins Institute waarschuwt inmiddels dat zij geen bijlagen bij hun e-mails met Corona-update versturen en roepen op extra waakzaam te zijn. Microsoft bewees zelf recent dat het opblazen van je mailsysteem sneller gebeurt dan je denkt. Het advies is daarom zeker niet aan dovemansoren. Mocht je een mail niet vertrouwen, open dan niks en gooi de mail ongezien weg.

Bron: microsoft, apparata / Robert Kroes

Overzicht met begrippen cyber »

Meer nieuws »

« Vorige Aanhoudingen in phishingzaak: coronacrisis misbruikt De Belastingdienst "Uw openstaande schuld is na meerdere herinneringen niet voldaan" Volgende »