image

Sodinokibi-ransomware verspreidt zich ook via macro's

maandag 22 juli 2019, 10:07 door Redactie, 0 reacties

De Sodinokibi-ransomware die door verschillende securitybedrijven als de opvolger van de beruchte GandCrab-ransomware wordt gezien maakt nu ook gebruik van macro's in Microsoft Office-bestanden om slachtoffers te infecteren. De Sodinokibi-ransomware kwam eerder in het nieuws omdat het een recent gepatchte kwetsbaarheid in Oracle WebLogic-servers gebruikte om zich te verspreiden.

Naast het beveiligingslek in Oracle WebLogic maken de aanvallers ook gebruik van kwetsbaarheden in Apache Tomcat en PHPMyAdmin. Volgens securitybedrijf 360 Core Security zijn de aanvallen op deze webapplicaties minder succesvol en maken de aanvallers sinds mei ook gebruik van macro's in Microsoft Office-bestanden om slachtoffers te maken.

De aanvallers versturen e-mails met onderwerpen zoals "offerte" en "factuur" om slachtoffers het bestand te laten openen. Zodra de ontvanger van het bestand de macro in het document inschakelt wordt de ransomware gedownload. De ransomware maakt daarbij gebruik van een beveiligingslek in Windows zodat de code met kernelrechten wordt uitgevoerd. Dit beveiligingslek werd op 9 oktober vorig jaar door Microsoft gepatcht.

Image

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.