Malafide macro wijzigt snelkoppelingen op bureaublad

[Captain Kirk]

Malafide macro's worden al jaren toegepast om internetgebruikers met malware te infecteren, maar onderzoekers hebben nu een aanval ontdekt waarbij de macro's op een opmerkelijke manier worden ingezet. In plaats van het downloaden en uitvoeren van malware, zoals gebruikelijk is, worden snelkoppelingen op het bureaublad aangepast. Als de gebruiker deze snelkoppelingen opent wordt de malware pas uitgevoerd.

Dat melden onderzoekers van anti-virusbedrijf Trend Micro. De aanval begint met een document dat de ontvanger vraagt om macro's in te schakelen. Standaard blokkeert Microsoft Office dit. Zodra de gebruiker macro's inschakelt zal de malafide macro naar snelkoppelingen op het bureaublad zoeken. Daarbij wordt er met name gezocht naar snelkoppelingen van Skype, Google Chrome, Mozilla Firefox, Opera en Internet Explorer. Zodra er één van deze snelkoppelingen is gevonden wordt de malware gedownload.

Vervolgens wordt de snelkoppeling vervangen door een snelkoppeling die naar de malware wijst. Ook wordt de snelkoppeling op de Quick Launch balk aangepast. Wanneer de gebruiker op de snelkoppeling klikt wordt de malware ook daadwerkelijk uitgevoerd. Deze werkwijze zorgt ervoor dat het de gebruiker is die de malware uitvoert in plaats van het programma. Het uiteindelijke doel van de malware is het installeren van Ammyy Admin, een remote administration tool voor het beheren van computers op afstand, en het verzamelen van informatie.

 

 

bron: security.nl