- Existuje nový dokument o malwaru společnosti Microsoft, který se maskuje jako dokument vytvořený v systému Windows 11 Alpha.
- Škodlivé dokumenty využívají makra VBA k úspěšné infiltraci do systému.
- Za tímto útokem je podezření skupina FIN7, vzhledem k jejich předchozí historii v podobných případech.
Uživatelé Microsoftu mají ještě jednu starost. Bezpečnostní výzkumná firma objevila nový malware dokumentu Microsoft Word. Maldoc se maskuje jako dokument vytvořený ve Windows 11 Alpha. Anomali Threat Research objevilo šest podobných škodlivých malwarů a varuje uživatele, aby byli ostražití, protože se Microsoft snaží udržet si přehled o situaci.
Microsoft v nedávné minulosti čelil útokům malwaru, kde byli útočníci vydávání se za známé a běžně používané nástroje produktivity zahájit útok. Objevený dokument o malwaru má název „Users-Progress-072021-1.doc“.
K útoku došlo koncem června
Podle Anomaliho k útoku pravděpodobně došlo na konci června a skončil na konci července. Firma potvrzuje, že za útokem stojí skupina FIN7 a hlavním cílem bylo dodat variantu Javascriptu zadními vrátky, jak se snaží od roku 2018. FIN7 je považován za nejdéle fungující skupinu kybernetických útoků od roku 2013.
Řetězec infekce nejprve začal obrázkem, který byl vytvořen pomocí systému Windows 11 Alpha. Obrázek dal uživatelům za úkol „Povolit obsah“ nebo „Povolit úpravy“ pro další krok.
Uživatel Twitteru s názvem Operátor Ninja vzal na Twitter, aby se zeptal, zda za útokem stála FIN7, když zpráva vypukla.
Jsi to ty #FIN7https://t.co/54VUmf21Pn
- Nicko K (@NinjaOperator) 3. září 2021
Uživatelé se nechají nalákat pomocí pokynů na obalu dokumentu
Dokument o malwaru používá makra Visual Basic for Application. Jakmile bude úspěšný, bude užitečné zatížení javascriptu zrušeno. Makro se spustí, když uživatel provede základní funkce, jako je „povolení úprav“ nebo „povolení obsahu“, přesně podle pokynů na obalu.
Uživatelé obeznámeni s Windows 11 sestavení a variace je méně pravděpodobné, že budou trpět útokem, ale ostatní mohou tomuto triku propadnout a spustit soubor.
Dokument o malwaru může provádět několik kontrol, například:
- Paměťová kapacita
- Jazyk
- Kontrola VM
- CLEARMIND kontrola
CLEARMIND je doména pro poskytovatele služeb POS. FIN7 je známý tím, že cílí na takové domény, aby získal přístup k rozsáhlým datům.
Skupina je nadále aktivní i přes opatření přijatá k ukončení útoků. Uživatelé jsou varováni, aby zůstali u všech souborů mimořádně ostražití.
Trpěli jste v nedávné minulosti nějakým malwarovým útokem? Podělte se o všechny tipy, které vám přišly užitečné, v sekci komentáře níže.
![Chyba „Soubor se používá“ v systému Windows 10 [Oprava]](/f/4941287765bff8c8e7c467b5df0feacb.jpg?width=300&height=460)
