Kurzer Infosplitter in Sachen Sicherheit, speziell für Administratoren und Sicherheitsbeauftragte in Unternehmen bzw. Banken. Check Point Research ist auf eine Malware-Kampagne gestoßen, die weltweit Banken im Fokus hat.
Anzeige
Mir liegen außer nachfolgendem Tweet keine weiteren Details vor. Aber aus den Angaben lässt sich einiges herauslesen.
New #malspam campaign targeting banks worldwide.
Malspam -> #iqy file (zipped) -> 169.239.128.164 -> #FlawedAmmyy pic.twitter.com/4ZWp4foKo2— Check Point Research (@_CPResearch_) 17. Juli 2018
Bei der #malspam-Kampagne wird Malware als Dateianhang in Form einer gepackten (ZIP) .iqy-Datei verschickt. Eine solche .iqy-Datei lässt sich in Excel importieren. Dort versucht ein PowerShell-Script eine Payload von einer IP-Adresse zu laden. Der Hash-Tag #FlawedAmmyy deutet darauf hin, dass die mit einem Trojaner versehene Remote-Admininstrator-Software Ammyy Admin heruntergeladen und verwendet werden soll. Zu FlawedAmmyy hatte ich vor Tagen den Beitrag Remote-Admin-Software Ammyy Admin mit Trojaner verteilt hier im Blog. Also Augen offen halten, die Mannschaft informieren und ggf. Gegenmaßnahmen treffen.
Anzeige
Danke! Soeben unseren Proxy geimpft.
kannst du das genauer erläutern in welcher Form du "geimpft" hast?
Ich vermute mal indem er im Proxy die IP 169.239.128.164 auf die Blacklist gesetzt hat.
Ich hab die Erweiterung "iqy" auf die Blacklist im Exchange gesetzt, somit kommt die Mail erst gar nicht beim Benutzer an.
ja, wie geschrieben im Proxy die Dateiendung verboten, dann wird die gar nicht ausgeliefert.