Det verkar vara en kampanj på gång...
Hos oss dök det upp vid lunch en zipfil med en 'beställning' från till synes etablerad kund (spoofad) med filnamn som alla säljare och ordermottagare hugger på direkt. I filen fans en 'beställning'.pdf.exe och alla som kör win-explorer i standardinställning kan gissa hur det ser ut där - dvs. 'beställning.pdf' (och ingen noterar att .pdf inte borde synas) och klickar för att få upp det.
Att dölja extension på filerna i windows filhanterarna borde beläggas med plågsamma straff för de som sätter upp datorerna på så sätt och även Microsoft själv för att de har det som default.
Det jobbiga är att Adobe har variant med dokument.pdf.exe på samma sätt som självuppackade ziparkivfiler så att man inte behöver installera en pdf-reader för dokumentet - inte för att jag sett sådana i verkligheten men det verka finnas om man söker lite.
Det visade sig vara en 'dropper' (trojansk häst kallades sådant förr) - de kan ligga och lurka väldigt länge i en dator, halv och helår innan aktivitet och väl installerad är experter på att gömma sig även för antivirusprogram, dölja processor, nät och HD-aktiviteter så att det inte syns i någon resurshanterare och ligger sedan och väntar på kommandon från command and controller som kan skjuta in vilken typ av skadlig mjukvara som helst när de känner för det eller har som resurs vid DDOS-attacker.
Filen som sådant var typ 33 kbyte stor om jag minns rätt och körde man i sandlåda såg man att den nyttjade maximalt av olika windows redan existerande resurser inklusive .NET och skulle man dissikera allt detta och få bort all obfuscated kod så är det som skrivet tidigare troligen bara typ 75-100 rader kod av något slag för att öppna vägen ut och slanga in mer avancerad kod.
Det intressanta var att extremt få antivirusföretag hade något alls på dem och de få som reagerade så vara databasen på några av dem bara 5 timmar gammalt när jag sökte runt - så det är lite zeroday-känsla för denna variant och inser att det kan missas av AV-programmen innan de hinner blir uppdaterade och tillräckligt många hinner trycka....
Man behöver inte vara dum utan bara lite ivrig/stressad och inte fullt uppmärksam för att angriparna skall få in första foten in i ett företags nätverk...