Phishingmail kopieert malafide code naar clipboard, vraagt dan om ctrl-v

[Captain Kirk]

Onderzoekers hebben phishingmails ontdekt waarvan de bijlage malafide code naar het clipboard kopieert en vervolgens het slachtoffer wordt gevraagd die in de PowerShell-terminal te plakken en uit te voeren. De phishingmails vragen de ontvanger als eerste de meegestuurde html-bijlage te openen. Deze html-bijlage bevat een malafide Powershell-commando dat automatisch in de achtergrond naar het clipboard wordt gekopieerd.

In de voorgrond verschijnen instructies voor het doelwit. Daarin wordt gesteld dat een "Word online" extensie ontbreekt. Om het probleem op te lossen moet de Powershell-terminal worden geopend en dan ctrl-v en enter gedaan. In werkelijkheid zorgt dit ervoor dat de eerder gekopieerde malafide code wordt uitgevoerd. Het Powershell-commando downloadt een HTA-bestand. Dit bestand wist de inhoud van het clipboard en voert een nieuw Powershell-commando uit waarmee de uiteindelijke malware wordt gedownload en uitgevoerd, zo laat antivirusbedrijf Ahnlab weten.

 

bron: https://www.security.nl