NYHETER

1 min read

Falska Word-dokument används för att ta över företagsdatorer

Falska Word-dokument används för att ta över företagsdatorer
Falska Word-dokument används för att ta över företagsdatorer

Falska Word-dokument används för att ta över företagsdatorer

En ny attackmetod sprider sig bland företag: angripare skickar e-post som leder offret till en falsk Word Online-sida. Sidan ser ut som ett vanligt affärsdokument, men bakom kulisserna startas en kedja av händelser som ger angriparna full kontroll över datorn.

Så fungerar attacken

Säkerhetsföretaget ANY.RUN har analyserat attackkedjan i detalj. Den börjar med ett e-postmeddelande i Outlook som uppmanar mottagaren att öppna ett dokument. Länken leder till en övertygande kopia av Word Online eller OneDrive, men när användaren klickar vidare laddas ett MSI-installationsprogram ned i bakgrunden.

Installationsprogrammet körs tyst via Ninite, ett verktyg som normalt används av IT-avdelningar för att installera programvara utan att störa användaren. Därefter installeras ScreenConnect, ett legitimt fjärrstyrningsverktyg, som ger angriparna direkt åtkomst till datorn. Slutligen används HideUL för att dölja spåren.

Hela kedjan ser ut så här: Outlook-mail, falsk Word Online-sida, MSI-installerare, tyst körning via Ninite, fjärrstyrning via ScreenConnect, och slutligen dold aktivitet via HideUL.

Varför är det svårt att stoppa?

Det som gör den här typen av attack särskilt farlig är att den inte förlitar sig på traditionell skadlig kod. Alla verktyg som används, Ninite, ScreenConnect och liknande, är legitima program som många företag redan har i sina miljöer. Det gör det svårt för säkerhetssystem att slå larm.

Säkerhetsteamet kan se enskilda händelser utan att förstå helheten. Fjärråtkomst kan vara etablerad redan innan incidenten prioriteras. Det skapar ett farligt tidsfönster där angriparna rör sig fritt i nätverket.

Vad bör företag göra?

ANY.RUN rekommenderar att säkerhetsteam tränar på att analysera hela beteendekedjan, inte bara enskilda filer eller händelser. Att ha tydliga regler för vilka fjärrstyrningsverktyg som är godkända i miljön, och att övervaka oväntad installation av sådana verktyg, är ett viktigt steg.

Medarbetare bör också utbildas i att känna igen falska dokumentsidor. En legitim Word Online-sida ber aldrig dig att ladda ned och köra ett installationsprogram.

Källa: Hackread.com / ANY.RUN