Als je onverwachte macro’s in Excel ziet is het oppassen geblazen.
We zagen al eerder dat de Coronacrisis helaas niet alleen ziekte en verdriet brengt, maar ook een bron van inspiratie is voor criminelen. Dat blijkt vandaag weer. Microsoft waarschuwt namelijk voor een enorme phishing-operatie die men via Excel uitvoert.
Zo werkt de Excel Macro phishing truc
Zoals elke phishing-campagne begint deze aanval met een e-mail. Je krijgt een e-mail waarbij bijvoorbeeld het gerenommeerde Johns Hopkins Center de afzender blijkt te zijn. In de bijlage zie je een gewichtig ogend document, zoals bijvoorbeeld: “WHO Corona health update” (de titel kan verschillen, men heeft al honderden verschillende titels voor bijlagen gezien).
Wanneer je de bijlage opent start Excel Macro’s 4.0, zogezegd om de ‘statistieken’ te tonen. Op de achtergrond wordt direct de NetSupport Manager geïnstalleerd en gestart. Hiermee kan men op afstand de controle tot jouw systemen en data krijgen via de NetSupport RAT (Remote Access Tool). Dat is al gevaalrijk, maar men gaat een stap verder.
Via NetSupport RAT naar een server
Met het programma NetSupport RAT maakt men verbinding met een C2-server. Via deze server kan men razendsnel data binnen halen of juist allerlei programma’s installeren om nog meer data van jouw pc te halen.
Hoe gevaarlijk vindt Microsoft deze Excel-phishing?
Inmiddels detecteert Microsoft dat de phishing-expeditie een gigantische omvang heeft en blijft toenemen. Er zijn al heel veel computers geïnfecteerd en men verwacht dat dit door het onderwerp (Corona) en vertrouwen in Excel snel uitbreidt. Men heeft zelfs een waarschuwingstweet uitgestuurd.
Ook het John Hopkins Institute waarschuwt inmiddels dat zij geen bijlagen bij hun e-mails met Corona-update versturen en roepen op extra waakzaam te zijn. Microsoft bewees zelf recent dat het opblazen van je mailsysteem sneller gebeurt dan je denkt. Het advies is daarom zeker niet aan dovemansoren. Mocht je een mail niet vertrouwen, open dan niks en gooi de mail ongezien weg.
