Jak se dostane virus do PC? Stačí otevřít speciálně upravený Excel dokument

Dánská společnost CSIS Security Group rozeslala 2. listopadu 2021 ve svojí službě Platinum Alert Service upozornění na nebezpečný phishing skrze excelové soubory. Jedná se o typ útoku, který nepotřebuje předchozí zranitelnost. Jak zní vyjádření CSIS a lze se nějak bránit?

Celé znění alertu

---

# Dridex spam obsahuje dokument XLS a používá fakturu jako návnadu

CSIS shromáždila a analyzovala masivní spamovou kampaň, která láká na otevření dokumentu XLS. Pokud je dokument otevřen, je použito sociální inženýrství ve snaze nalákat uživatele k aktivaci makrokódu.

Spamový e-mail má polodynamický obsah:
Od: [kompromitovaný e-mailový účet]
Subject: (Předmět):
[9 číslic]: Invoice #[9 číslic]
Přílohy: Invoice-[9 digits]_20211101.xlsb
 –
Pokud je dokument otevřen, je použito sociální inženýrství, aby uživatel aktivoval spuštění makra. Viz přiložený snímek obrazovky. Pokud uživatel povolí kód makra, bude škodlivý kód spuštěn prostřednictvím „mshta.exe“, který otevře dokument RTF, který je kódem HTML. Ten pak stáhne a spustí škodlivý kód z CDN discordapp. Stejná skupina útočníků (TA575) nedávno použila jako návnadu také populární televizní seriál Squid Games.

Tato varianta Dridexu komunikuje s následujícími C&C – (CSIS provedla sanitaci):

192.46.210[.]220:443
143.244.140[.]214:808
45.77.0[.]96:6891
185.56.219[.]47:8116

Škodlivý dokument, který spouští tuto infekci, dosahuje následující antivirové detekce (18/58):

https://www.virustotal.com/gui/file/ccd862c503260c27c5c9e00f9181b134677c8f84a87e712cf0b59db54029e9b0

—CSIS Security Group

---

Ukázka z praxe

Otevře-li oběť přiložený XLS soubor, láká jeho obsah ke spuštění makra.

Podíváme-li se na výše uvedený odkaz virustotal, najdeme dnes podstatně více antirových dodavatelů, kteří virus detekují, než tomu bylo v okamžiku vydání alertu. 

Antivirus mě (ne)ochrání

Třeba si oddechnete, že Váš dodavatel antiviru je mezi těmi úspěšnými.

Nenechejte se tím ukolébat: příště může být právě váš antivirus mimo hru: Je totiž běžné, že se útočníci snaží obejít antivirovou ochranu sestavením nového viru ve chvíli, kdy jejich útoky přestávají fungovat právě kvůli úspěšné detekci. Brzy můžeme očekávat, že ve svých kampaních začnou používat nový virus (přesněji řečeno malware), který – minimálně po určitou dobu – ani nejlepší antiviry detekovat nebudou.

Co ale zůstane obvykle stejné, jsou IP adresy C&C – což jsou tzv. Command & Control centra, jejichž prostřednictvím útočníci komunikují se svými malwary a ovládají PC obětí. 

Je zřejmé, že antivirová ochrana je proti takovému útoku mnohdy bezmocná a procento lidí, kteří nakonec „kliknou“, kam nemají, je opravdu velké. Útočníci se tak dostanou snadno do zařízení oběti a ovládnou je. Tím často získají otevřené dveře také do firemního systému a pokračují v útoku. K tomu už další viry ani nepotřebují.

Spolehlivá ochrana – filtrace provozu DNS

Máte-li alerting, jako nabízí CSIS Security Group, můžete zakázat IP adresy útočníků na firewallu. Můžete také upozornit svoje uživatele na tento typ útoků a žádat vyšší ostražitost. Trvale zvýšenou pozornost ale nemůžeme chtít trvale – tak tomu bohužel je: je známo, že ani pravidelným školením řidičů nelze vyloučit dopravní nehody. Proto je třeba se bránit technickými prostředky. 

Můžete úspěšně využít filtraci provozu DNS, která vás před (nejen) takovými útoky ochrání poměrně spolehlivě. Jedná se o Heimdal™ Threat Prevention, který je k dispozici v provedení pro domácí uživatele a pro firmy, které ochrání jak na úrovni perimetru (daného síťového prostředí bez ohledu na operační systém zařízení) nebo koncového bodu (PC, MacOS nebo Android). 

Vyzkoušet můžete zdarma oboje – ochranu pro jednotlivce, rodiny a malé kanceláře.

Pro firmy od menších až po ty největší. 

A budete-li chtít alerting od CSIS Security Group, napište nám.

Pokud Vás toto téma zajímá, doporučuji zajímavý článek Lenky Zoulové na Novinky.cz ze dne 11. 11. 2021 (odkaz zde).