Phishingmail met nep Windows 10 update wordt momenteel verspreid

Hoe herken je deze phishingmail?

Wanneer je een email ontvangt van iemand die aangeeft dat deze van Microsoft is over een Windows 10 update, dan moet je deze mail niet openen.

Security onderzoekers van Trustwave’s SiderLabs hebben een nieuwe “malicious” campagne gevonden, waarbij er wordt gedaan dat urgente Windows 10 update mails afkomstig zijn van Microsoft. In werkelijkheid is dit een poging om de systemen van gebruikers te infecteren met de Cyborg ransomware.

Gebruikers waar de mails aan gericht zijn ontvangen mails met het onderwerp “Install Latest Microsoft Windows Update now!” of “Critical Microsoft Windows Update!” Dit is al aardig verdacht, omdat Microsoft de Windows 10 updates verspreid via het besturingssysteem en nooit via emails.

De mail zelf bevat maar 1 tekst regel waarop staat: “Please install the latest critical update from Microsoft attached to this email”. De neppe update is aanwezig in de bijlage van de mail als “.jpg” bestand, hierdoor lijkt het een afbeelding, maar het is een uitvoerbaar bestand (.exe). Dit bestand is een kwaadaardige .NET download die door de aanvallers is ontworpen om malware te versturen naar een geïnfecteerd systeem.

Cyborg ransomware

Wanneer een gebruiker op de mail bijlage klikt om het bestand te openen wordt er een “bitcoingenerator.exe” bestand gedownload van een Github account met de naam misterbtc2020. Het bestand is ook een kwaadaardige .NET bestand dat bekend staat als de Cyborg ransomware.

Wanneer deze ransomware wordt geactiveerd worden alle bestanden op het geïnfecteerde systeem versleuteld en worden alle bestand extenties aangepast naar 777, dit is de extensie van de ransomware. Ook wordt er een bestand “Cyborg_DECRYPT.txt” achtergelaten op het bureaublad, dit is de “ransom note” waarin staat wat er betaald moet worden om weer toegang te krijgen tot je bestanden. Als laatste wordt er ook een bestand “bot.exe” achtergelaten in de root map van de geïnfecteerde schijf.

Advies

Dat deze ransomware verspreid wordt met een nep Windows 10 update, is slechts een van thema’s waarmee deze ransomware verspreid kan worden er zijn heel veel verschillende onderwerpen te bedenken voor phishingmails om deze ransomware te verspreiden.

Wij adviseren gebruikers die een Windows 10 update mail ontvangen of een soortgelijk ander scenario wat niet helemaal logisch is of niet vertrouwd is om nooit direct op de link te klikken. Controleer ook altijd eerst de afzender goed of dit daadwerkelijk afkomstig is van de organisatie die wordt aangegeven in de mail. Indien je een mail niet vertouwd of niet zeker weet wat je met een ontvangen mail moet doen, is het altijd beter om contact op te nemen met je eigen IT of Security afdeling en deze om advies te vragen. Ook al blijkt later dat het uiteindelijk wel een vertrouwde mail is geweest. Je kunt beter de bevestiging hebben dat het een vertrouwde mail is, dan wanneer je het niet meldt en je hele systeem geïnfecteerd is met ransomware.

Bluekeep-exploit
Bluekeep kwetsbaarheid wordt actief misbruikt

Gerelateerde berichten

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

12 − 8 =

Menu