- Има нов документ за злонамерен софтуер на Microsoft, който се маскира като такъв, направен с Windows 11 Alpha.
- Зловредните документи използват макроси VBA, за да проникнат успешно в системата.
- Предполага се, че зад тази атака стои групата FIN7, като се има предвид предишната им история в подобни случаи.
Потребителите на Microsoft имат още едно притеснение. Фирма за изследване на сигурността откри нов злонамерен софтуер за документи на Microsoft Word. Maldoc се маскира като документ, направен на Windows 11 Alpha. Anomali Threat Research е открил шест подобни злонамерен софтуер и предупреждава потребителите да бъдат бдителни, докато Microsoft се опитва да остане на върха на ситуацията.
В близкото минало Microsoft се е сблъсквала със злонамерени атаки, където са били и нападателите представяйки се за познати и често използвани инструменти за производителност да започне атака. Откритият документ за злонамерен софтуер се нарича „Users-Progress-072021-1.doc“.
Атаката е извършена в края на юни
Според Аномали атаката вероятно е станала в края на юни и е приключила в края на юли. Фирмата потвърждава, че групата FIN7 стои зад атаката и основната цел е да се достави вариант на Javascript през задната врата, както се опитват от 2018 г. FIN7 се счита за най-дълго действащата група за кибератаки от 2013 г.
Веригата на инфекцията първоначално започна с изображение, което беше маскирано, че е направено с Windows 11 Alpha. Изображението възлага на потребителите да „Активират съдържание“ или „Активиране на редактирането“ за следващата стъпка.
Потребител на Twitter на име NinjaOperator отиде в Twitter, за да се запита дали FIN7 стои зад атаката, когато избухна новината.
Това ти ли си #FIN7https://t.co/54VUmf21Pn
- Нико К (@NinjaOperator) 3 септември 2021 г.
Потребителите са привлечени, като използват инструкции на корицата на документа
Документът за злонамерен софтуер използва Visual Basic за макроси за приложения. След като успее, полезен товар от javascript се отпада. Макросът се изпълнява, когато потребителят изпълнява основни функции, като например „разрешаване на редактиране“ или „активиране на съдържание“, точно както инструкциите казват на корицата.
Познати потребители с Сборки и варианти на Windows 11 е по -малко вероятно да страдат от атаката, но други могат да попаднат на този трик и да стартират файла.
Документът за злонамерен софтуер може да извърши няколко проверки като:
- Капацитет на паметта
- Език
- VM проверка
- Проверка CLEARMIND
CLEARMIND е домейн за доставчик на POS услуги. FIN7 е известен с насочването си към такива домейни, за да получи достъп до мащабни данни.
Групата продължава да бъде активна въпреки предприетите мерки за прекратяване на атаките. Потребителите са предупредени да останат особено бдителни по всички файлове.
Страдали ли сте от злонамерени атаки в близкото минало? Споделете всички съвети, които сте намерили за полезни в секцията за коментари по -долу.
