Artikel top billede

Dine mail-indstillinger er ændret: Opdater og få orm!

En besked, der på overfladen ligner opdaterings-instruktioner, planter en orm, der kan sprede sig via USB-stik. Se her, hvordan du undgår malwaren.

Computerworld News Service: Adskillige sikkerhedsvirksomheder har i denne uge advaret mod en større malware-kampagne, der forsøger at lokke brugerne til at åbne en ondsindet PDF, der udnytter en ikke-lappet design-fejl i formatet.

De brugere, der vælger at åbne filen, bliver inficeret med en variant af den Windows-orm, der er kendt som"Auraax" og "Emold", fortæller eksperter.

Den ondsindede besked camouflerer sig som en systemadministrator-mail under overskriften "Dine mail-indstillinger er blevet ændrede," fortæller Mary Grace Gabriel, som er research engineer ved CA Inc..

En PDF-vedhæftning indeholder tilsyneladende instruktioner til, hvordan man genopsætter de originale indstillinger. "SMTP og POP3-servere til… mailboksen er blevet ændret. Læs de medfølgende instrukser grundigt, inden indstillingerne opdateres," står der i beskeden.

I virkeligheden indeholder PDF'en malware og udnytter formatets /Launch-funktion til at køre den ondsindede software på Windows-pc'er, der bruger den nyeste version af det gratis program Adobe Reader, Adobes betalingsprogram Acrobat eller andre PDF-læsere som for eksempel Foxit Reader.

/Launch-funktionen er ikke en sårbarhed i sig selv men en design-biprodukt ved PDF-specifikationen. Tidligere i denne måned demonstrerede den belgiske forsker Didier Stevens, hvordan en angrebs-PDF kan udnytte /Launch til at køre malware, der er gemt i filen.

For to uger siden sporede sikkerhedseksperter aktivitet fra botnettet Zeus, der er begyndt at anvende /Launch-fejlen til at inficere pc'er.

Adobe har tidligere afvist at svare på, hvorvidt ondsindet brug af /Launch i tilriggede PDF'er kunne få virksomheden til at opdatere Reader og Acrobat men oplyser dog, at en ændring i funktionen måske "vil blive gjort tilgængelig via en af de planlagte produktopdateringer, der finder sted hver tredje måned."

Brad Arkin, som er Adobes øverste chef for sikkerhed og privacy, har anerkendt at en mulig løsning kunne være at slå funktionen fra. I dag er den slået til per default.

Kopierer sig selv til USB-stik

Efter en analyse af angrebs-PDF'erne har andre eksperter fundet ud af, at hackerne udnytter Didier Stevens foreslåede taktik med en modificeret advarsel i Reader og Acrobat.

Adobe Reader fremviser for eksempel en besked, der fortæller brugerne, at de kun skal åbne filer som de ved er sikre. I den samme Windows-dialogboks, viser Reader navnet på den fil, der er ved at blive åbnet.

Ifølge eksperter ved IBM Security Systems har hackere ændret i teksten, så der nu bare står, "klik på 'open' for at se dokumentet."

Andre sikkerhedseksperter, her iblandt dem ved CERT-Lexi i Paris, har også rapporteret om den ondsindede PDF. CERT-Lexi kan tilføje, at malwarens command and control-server findes i Korea.

Researchere fra IBM fortæller, at den omtalte malware tilsyneladende er en version af Auraax- eller Emold-ormen.

Ormen lægger et rootkit på den kompromitterede pc og forsøger desuden at kopiere sig selv til alle eksterne drev, heriblandt USB-stik, for at sprede sig ved hjælp af infektionstaktikken "Autorun", der blev gjort populær af Conficker-ormen i 2008.

Slå autorun fra

Medarbejdere ved IDG (som står bag Computerworld) er blandt modtagerne af den ondsindede PDF-fil.

Beskederne camouflerer sig under navne som "customersupport@ domain name .com," "support@ domain name .com," og "admin@ domain name .com, mens domænenavnet typisk er virksomhedens navn.

En talskvinde fra Adobe nægter at udtale sig om de seneste angreb og siger i stedet, at virksomheden stadig er ved at undersøge /Launch-funktionen i Adobe Reader og Acrobat for at identificere "alle mulige scenarier for denne særlige funktionalitet, så vi kan sikre, at vi ikke ødelægger det almindelige workflow for nogen af vores kunder."

Råder fra Adobe er stadig, at kunderne konfigurerer Reader og Acrobat, så programmerne imødegår den slags angreb, tilføjer hun. Adobe har lagt instruktioner op på sin hjemmeside.

IBM's sikkerhedseksperter anbefaler, at brugerne slår Windows' Autorun fra for alle USB-stik og henviser ellers til et support-dokument fra Microsoft, der indeholder instruktioner og opdateringer.

Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere