- Es gibt ein neues Microsoft-Malware-Dokument, das sich selbst als ein mit Windows 11 Alpha erstelltes Dokument maskiert.
- Die schädlichen Dokumente nutzen VBA-Makros aus, um das System erfolgreich zu infiltrieren.
- Die FIN7-Gruppe wird aufgrund ihrer Vorgeschichte in ähnlichen Fällen verdächtigt, hinter diesem Angriff zu stehen.
Microsoft-Benutzer müssen sich um eine weitere Sache Sorgen machen. Ein Sicherheitsforschungsunternehmen hat eine neue Malware für Microsoft Word-Dokumente entdeckt. Das maldoc maskiert sich als ein Dokument, das unter Windows 11 Alpha erstellt wurde. Anomali Threat Research hat sechs ähnliche bösartige Malware entdeckt und warnt Benutzer, wachsam zu sein, während Microsoft versucht, den Überblick zu behalten.
Microsoft war in der jüngsten Vergangenheit mit Malware-Angriffen konfrontiert, bei denen Angreifer waren Verkörperung bekannter und häufig verwendeter Produktivitätstools einen Angriff zu starten. Das entdeckte Malware-Dokument trägt den Namen „Users-Progress-072021-1.doc“.
Angriff fand Ende Juni statt
Laut Anomali fand der Angriff wahrscheinlich Ende Juni statt und endete Ende Juli. Die Firma bestätigt, dass die FIN7-Gruppe hinter dem Angriff steckt und das Hauptziel darin bestand, eine Variation von Javascript durch die Hintertür bereitzustellen, wie sie es seit 2018 versucht. FIN7 gilt als die am längsten laufende Cyberangriffsgruppe seit 2013.
Die Infektionskette begann zunächst mit einem Image, das vorgab, mit Windows 11 Alpha erstellt worden zu sein. Das Bild forderte die Benutzer auf, für den nächsten Schritt "Inhalte aktivieren" oder "Bearbeitung aktivieren" zu aktivieren.
Ein Twitter-Nutzer namens Ninja-Betreiber ging zu Twitter, um zu fragen, ob FIN7 hinter dem Angriff steckte, als die Nachricht bekannt wurde.
Sind Sie das #FIN7https://t.co/54VUmf21Pn
— Nicko K (@NinjaOperator) 3. September 2021
Benutzer werden mit Anweisungen auf dem Umschlag des Dokuments angelockt
Das Malware-Dokument verwendet Visual Basic for Application-Makros. Bei Erfolg wird eine Javascript-Nutzlast verworfen. Das Makro wird ausgeführt, wenn ein Benutzer grundlegende Funktionen wie "Bearbeitung aktivieren" oder "Inhalt aktivieren" ausführt, genau wie es die Anweisungen auf dem Cover sagen.
Benutzer, die vertraut sind mit Windows 11-Builds und -Varianten weniger wahrscheinlich unter dem Angriff zu leiden, aber andere können auf diesen Trick hereinfallen und die Datei ausführen.
Das Malware-Dokument kann mehrere Prüfungen durchführen, wie zum Beispiel:
- Speicherkapazität
- Sprache
- VM-Check
- CLEARMIND-Check
CLEARMIND ist eine Domain für einen POS-Dienstleister. FIN7 ist dafür bekannt, auf solche Domänen abzuzielen, um Zugang zu umfangreichen Daten zu erhalten.
Die Gruppe ist trotz Maßnahmen zur Beendigung der Angriffe weiterhin aktiv. Benutzer werden gewarnt, bei allen Dateien besonders wachsam zu bleiben.
Hatten Sie in der letzten Zeit Malware-Angriffe? Teilen Sie im Kommentarbereich unten alle Tipps mit, die Sie für hilfreich hielten.
