In de macro zit een knop met een versleutelde string in het bijschrift dat de aandacht trok van enkele Microsoft-onderzoekers. De knop spreekt een andere module aan die de string ontsleutelt en dat blijkt een URL-call te zijn waarmee ransomware Locky wordt binnengehaald.

De macro lijkt niets verdachts te bevatten en de ontsleutelende module lijkt ook op een legitiem SQL-programma, zo schrijft Microsoft. Het bedrijf raadt natuurlijk aan om macro's in principe niet te openen, tenzij je hem zelf hebt geschreven of het bijvoorbeeld een vertrouwd macro is dat intern wordt gebruikt.

Macro keert terug

Het ouderwetse aandoende macrovirus is al een paar jaar aan een kleine revival bezig en securitybedrijven zien vaker samples langskomen. De redenen daarvoor zijn dat macrovirussen niet meer als zo'n grote dreiging worden gezien als vroeger en omdat criminelen gerichtere of slimmere social engineering toepassen om werknemers zo ver te krijgen om een malafide macro te activeren.

Ransomware Locky is dit jaar aan populariteit aan het winnen en deze wordt veel verspreid via malafide macro's, net als in dit geval. Onderzoekers vermoeden dat Locky banden heeft met botnet Dridex, die eenzelfde verspreidingstechniek gebruikte en delen van de code van Locky lijkt om die van Dridex-trojans, zo meldde Palo Alto Networks eerder dit jaar.