Dostałeś dokument Word z niewiadomego źródła? To może być phishing

Izabela Dzienisz

20 stycznia 2021

W swoim najnowszym komunikacie Virus Bulletin poinformował, że atakujący wykorzystują polecenie Finger w systemie Windows do pobrania i zainstalowania backdoora Minebridge na zaatakowanym komputerze.

Wspomniane polecenie Finger to narzędzie wywodzące się z systemów operacyjnych Linux / Unix. Umożliwia ono lokalnemu użytkownikowi pobranie listy użytkowników zdalnych maszyn lub informacji o konkretnym użytkowniku zdalnego komputera. System Windows również umożliwia obsługę polecenia finger.exe z dostępem do tej samej funkcjonalności. O ile zwykłe działanie tego polecenia nie powoduje zagrożenia, uśpiona czujność użytkowników poczty e-mail skutkuje podatnością na atak z kradzieżą danych w tle.

Phishing z backdoorem MineBridge - co warto wiedzieć 🔔

MineBrigde wykryto po raz pierwszy w kontekście ataku sprzed około roku, a jego celem były wówczas liczne organizacje w Korei Południowej. Wówczas atak wyglądał tak, że adresat e-maila otrzymywał na swoją skrzynkę wiadomość, której treść dotyczyła kandydata rekomendowanego do pracy. W załączniku znajdował się pozornie zwyczajny dokument CV, który jednak w rzeczywistości zawierał niebezpieczny backdoor.

👉 Pełna oferta antywirusów dla Twojego domu i firmy 🏆

Także tym razem źródłem ataku phishingowego jest e-mail z załącznikiem, który przypomina CV. W wiadomości e-mail zawarty jest załącznik w postaci dokumentu MS Word, a po jego otwarciu automatycznie pojawia się komunikat widoczny poniżej. Zawiera on prośbę o udzielenie zgody na edycję („enable editing” – włącz edycję) oraz wykonywanie makr („enable content” – ang. włącz zawartość). W wyniku naciśnięcia przycisku i wyrażenia zgody następuje instalacja złośliwego oprogramowania.

Polecenie Finger jest używane bardzo rzadko, dlatego sugeruje się, żeby administratorzy sieci blokowali w swojej organizacji możliwość jego uruchomienia.

Jeśli ciekawi Was szczegółowa analiza nowego zagrożenia, została ona przedstawiona w artykule na portalu BleepingComputer.

Podejrzane załączniki = potencjalne źródło ataku 👀❗

Powyższy atak z wykorzystaniem polecenia finger nie był pierwszym, w którym złośliwe oprogramowanie podszywa się pod dokument programu MS Word. Już w listopadzie 2020 r. zespół CERT działający przy T-Mobile informował o zagrożeniu, które wykorzystuje przesyłany dokument MS Word.

Bitdefender^®
rozwiązania biznes

Sprawdź nasze wielokrotnie nagradzane produkty i wybierz ten, który odpowiada Twoim zapotrzebowaniom.

Przejdź do porównania!

Niebezpieczne załączniki w wiadomościach e-mail często wyglądają na pliki znajomo wyglądające i na pierwszy rzut oka mogą nie wzbudzać podejrzeń. Niezależnie od tego, czy wiadomość pochodzi od osób, które znamy, czy z nieznanego adresu, zawsze powinniśmy zachować czujność.

Bez wątpienia należy unikać otwierania potencjalnie niebezpiecznych plików oraz klikania podejrzanych poleceń i komunikatów. Pozwoli to ograniczyć ryzyko naruszeń bezpieczeństwa, wycieku danych, a także utraty poufnych informacji i plików.

👉 Zobacz także: Bitdefender Internet Security z certyfikatem anty-phishingowym