malware

Microsoft har opdateret listen over uønskede filer, der udelukkes i Office 365-dokumenter. Nu er SettingContent-ms-fil-formatet blevet tilføjet til listen.

Microsoft blokerer således for brugen af de indlejrede filer i Office-dokumenter via funktionen OLE (Object Linking and Embedding).

Listen indeholder nu 108 ’farlige’ fil-udvidelser. Udover ContentSetting-ms indeholder listen også fil-formater som eksempelvis EXE, JS, MSI, VBS og PowerShell-udvidelser.

Malware-udviklere har rettet blikket stift mod den SettingContent-ms-svaghed i Windows, der blev afsløret i begyndelsen af juni.

Tricket består i at udnytte Windows Settings (.SettingContent-ms), som er en XML-fil. Normalt anvendes fil-typen til at kontrollere kontrolpanelets indstillinger, men det har vist sig, at der kan implementeres ondsindet kode i XML-filen via tag’et <DeepLink>.

Den amerikanske CERT-tjeneste har udsendt information om en malware-kampagne, der vurderes at komme fra en nordkoreansk gruppe kaldet Hidden Cobra.

I sikkerhedsopdateringen fortæller US-CERT, at et ondsindet program med navnet Typeframe indeholder elementer, der kan relateres til den omtalte gruppe. Informationen indeholder dog ikke tal på hvor mange systemer, der er inficeret.

Hidden Cobra har i følge de amerikanske myndigheder haft travlt i den senere tid. I maj kom eksempelvis en advarsel om to malware-programmer med navnene Joanap og Brambul fra amerikanerne.

FBI forsøgte for halvanden uge siden at lukke ned for VPNFilter botnet, der på aggressiv vis havde kapret over 500.000 routere og NAS-enheder. Nu mener sikkerhedsforskere, at koden igen anvendes til nye angrebsforsøg.

Det er sikkerhedsanalytikere fra JASK og GreyNoise Intelligence, som advarer om, at den ondsindede kode igen forsøger at kompromittere routere og genskabe VPNFilter botnet efter FBIs nedlukning.

Angrebene ser dog i denne omgang ud til at koncentrere sig om Ukraine.

FBI og Department of Homeland Security har udsendt en advarsel, der omhandler malware-udsendelser, som de mener, er forbundet til en nordkoreansk gruppe kaldet Hidden Cobra.

Advarslen indeholder en række indikatorer, som eksempelvis IP-adresser, der peger på, at det er Hidden Cobra, som står bag to malware-distributionen. Der er tale om et remote access-værktøj kaldet Joanap og en orm, der er blevet døbt Brambul. Den spreder sig via Windows SMB-protokol.

Federal Bureau of Investigation advarer nu om router-problemer. Det sker på grund af, at FBI har registreret, at routere og netværksenheder i hundredetusindevis er blevet kompromitteret rundt omkring på kloden.

Det er ondsindet kode i form af VPNFilter malware, der er benyttet til at angribe de mange hjemme-routere og netværksenheder i mindre virksomheder.

Den ondsindede software er i stand til at udføre flere opgaver, eksempelvis at indsamle informationer, udnytte enhederne eller blokere for netværkstrafik.

I februar var der skadelig software i 0,16 procent af de mails, sikkerhedsfirmaet Symantec tjekkede. Det er en lille stigning i forhold til januar, hvor tallet var på 0,13 procent.

Mængden har tidligere været langt højere. I november 2016 lå den på 0,9 procent.

Stigningen i februar skete på trods af, at det tidligere meget aktive botnet Necurs igen lå underdrejet. Det kom kun med to væsentlige kampagner i februar.

Anbefaling

Beskyt mod skadelig software med sikkerhedssoftware - og undlad at klikke på links eller filer, du får tilsendt uopfordret.

Over 40 billige Android-enheder leveres med det skadelige program Triada.231. Det har sikkerhedsfirmaet Doctor Web opdaget.

Firmaet så første gang inficerede enheder i sommeren 2017. Det tog kontakt til producenterne. Men nye smartphones leveres stadig med den skadelige software.

Det gælder fx Leagoo M9, der blev lanceret i december.

Blandt de inficerede produkter er enheder fra Leagoo, ARK, Zopo, Doogee, Tecno, Vertex, myPhone, Advan, STF, Tesla og flere andre.

Ifølge Dr. Web kan langt flere smartphones end de godt 40, de har opdaget, være inficerede.

E-mails med skadelig software udgjorde 0,13 procent af alle mails i januar. I december var andelen 0,23 procent. Det fremgår af statistikker fra sikkerhedsfirmaet Symantec.

Ifølge firmaet skyldes faldet primært, at botnettet Necurs udsender færre mails med skadelig software. I stedet koncentrerer bagmændene indsatsen om svindel med kryptovaluta.

Det sker ved at udsende mails, der forsøger at få folk til at købe en kryptovaluta ved navn Swisscoin. Hvis det lykkes, stiger kursen, hvorefter bagmændene kan sælge deres Swisscoin med fortjeneste.

Hvis man har hentet Elmedia Player eller Folx til macOS den 19. oktober fra Eltima Softwares websted, kan ens Mac være inficeret med OSX/Proton. Det er et skadeligt program, som bagmænd kan udnytte til at fjernstyre computeren med.

Det vides ikke, hvor længe de to programmer har været inficeret. Efter den 19. oktober er infektionen fjernet.

Opdateringer via den automatiske opdateringsmekanisme ser ikke ud til at have spredt infektionen.

Man kan undersøge, om nogle bestemte filer findes på ens Mac. I så fald er det tegn på infektion.