- Der er et nyt Microsoft malware -dokument, der maskerer sig selv som et, der er lavet med Windows 11 Alpha.
- De ondsindede dokumenter udnytter VBA -makroer til at infiltrere systemet med succes.
- FIN7 -gruppen mistænkes for at stå bag dette angreb, givet deres tidligere historie i lignende tilfælde.
Microsoft -brugere har en ting mere at bekymre sig om. Et sikkerhedsforskningsfirma har opdaget en ny Microsoft Word -dokument malware. Maldoc maskerer sig selv som et dokument lavet på Windows 11 Alpha. Anomali Threat Research har opdaget seks lignende ondsindet malware og advarer brugere om at være årvågne, da Microsoft forsøger at holde styr på situationen.
Microsoft har været udsat for malware -angreb i den seneste tid, hvor angribere har været efterligner velkendte og almindeligt anvendte produktivitetsværktøjer at starte et angreb. Det opdagede malware-dokument hedder "Users-Progress-072021-1.doc".
Angrebet fandt sted i slutningen af juni
Ifølge Anomali fandt angrebet sandsynligvis sted i slutningen af juni og endte i slutningen af juli. Firmaet bekræfter, at FIN7 -gruppen står bag angrebet, og hovedformålet var at levere en variation af Javascript gennem bagdøren, som de har prøvet siden 2018. FIN7 betragtes som den længst kørende cyberangrebsgruppe siden 2013.
Infektionskæden startede først med et billede, der viste sig at være lavet med Windows 11 Alpha. Billedet gav brugerne til opgave at 'Aktiver indhold' eller 'Aktiver redigering' til det næste trin.
En Twitter -bruger navngivet NinjaOperator tog til Twitter for at stille spørgsmålstegn ved, om FIN7 stod bag angrebet, da nyheden brød ud.
Er det dig #FIN7https://t.co/54VUmf21Pn
- Nicko K (@NinjaOperator) 3. september 2021
Brugere lokkes ved hjælp af instruktioner på dokumentets omslag
Malwaredokumentet bruger Visual Basic til applikationsmakroer. Når det lykkes, tabes en javascript -nyttelast. Makroen udføres, når en bruger udfører grundlæggende funktioner som 'aktivering af redigering' eller 'aktivering af indhold', ligesom instruktionerne siger på forsiden.
Brugere, der kender Windows 11 builds og variationer er mindre tilbøjelige til at lide af angrebet, men andre kan falde for dette trick og køre filen.
Malwaredokumentet kan udføre flere kontroller såsom:
- Hukommelseskapacitet
- Sprog
- VM -tjek
- CLEARMIND check
CLEARMIND er et domæne for en POS -tjenesteudbyder. FIN7 er kendt for at målrette mod sådanne domæner for at få adgang til store data.
Gruppen er fortsat aktiv på trods af foranstaltninger truffet for at bringe angrebene til ophør. Brugere advares om at være ekstra opmærksom på alle filer.
Har du lidt af nogen malware -angreb i den seneste tid? Del eventuelle tips, du fandt nyttige i kommentarfeltet herunder.
