- Υπάρχει ένα νέο έγγραφο κακόβουλου λογισμικού της Microsoft που καλύπτεται ως ένα που δημιουργήθηκε με τα Windows 11 Alpha.
- Τα κακόβουλα έγγραφα εκμεταλλεύονται μακροεντολές VBA για να διεισδύσουν επιτυχώς στο σύστημα.
- Η ομάδα FIN7 είναι ύποπτη ότι βρίσκεται πίσω από αυτήν την επίθεση, δεδομένου του προηγούμενου ιστορικού τους σε παρόμοιες περιπτώσεις.
Οι χρήστες της Microsoft έχουν ένα ακόμη πράγμα που πρέπει να ανησυχεί. Μια εταιρεία ερευνών ασφαλείας ανακάλυψε ένα νέο κακόβουλο λογισμικό εγγράφων Microsoft Word. Το maldoc καλύπτεται ως έγγραφο που δημιουργήθηκε στα Windows 11 Alpha. Η Anomali Threat Research ανακάλυψε έξι παρόμοια κακόβουλα προγράμματα και προειδοποιεί τους χρήστες να είναι σε εγρήγορση καθώς η Microsoft προσπαθεί να παραμείνει στην κορυφή της κατάστασης.
Η Microsoft έχει αντιμετωπίσει επιθέσεις κακόβουλου λογισμικού στο πρόσφατο παρελθόν όπου ήταν οι επιτιθέμενοι υποδυόμενη οικεία και κοινά χρησιμοποιούμενα εργαλεία παραγωγικότητας να εξαπολύσει επίθεση. Το έγγραφο κακόβουλου λογισμικού που ανακαλύφθηκε ονομάζεται "Users-Progress-072021-1.doc".
Η επίθεση έγινε στα τέλη Ιουνίου
Σύμφωνα με το Anomali, η επίθεση πιθανότατα έγινε στα τέλη Ιουνίου και έληξε στα τέλη Ιουλίου. Η εταιρεία επιβεβαιώνει ότι ο όμιλος FIN7 βρίσκεται πίσω από την επίθεση και ο κύριος στόχος ήταν να παραδώσει μια παραλλαγή του Javascript μέσω της πίσω πόρτας, όπως προσπαθούν από το 2018. Το FIN7 θεωρείται η μακροβιότερη ομάδα κυβερνοεπιθέσεων από το 2013.
Η αλυσίδα μόλυνσης ξεκίνησε αρχικά με μια εικόνα που μεταμφιέστηκε ότι έγινε με τα Windows 11 Alpha. Η εικόνα ανέθεσε στους χρήστες "Ενεργοποίηση περιεχομένου" ή "Ενεργοποίηση επεξεργασίας" για το επόμενο βήμα.
Ένας χρήστης του Twitter με όνομα NinjaOperator πήρε στο Twitter για να ρωτήσει αν το FIN7 ήταν πίσω από την επίθεση όταν κυκλοφόρησαν οι ειδήσεις.
Εσύ είσαι #FIN7https://t.co/54VUmf21Pn
- Nicko K (@NinjaOperator) 3 Σεπτεμβρίου 2021
Οι χρήστες παρασύρονται χρησιμοποιώντας οδηγίες στο εξώφυλλο του εγγράφου
Το έγγραφο κακόβουλου λογισμικού χρησιμοποιεί μακροεντολές Visual Basic for Application. Μόλις επιτευχθεί, ένα ωφέλιμο φορτίο javascript πέφτει. Η μακροεντολή εκτελείται όταν ένας χρήστης εκτελεί βασικές λειτουργίες όπως «ενεργοποίηση επεξεργασίας» ή «ενεργοποίηση περιεχομένου», όπως ακριβώς λένε οι οδηγίες στο εξώφυλλο.
Χρήστες εξοικειωμένοι με Δημιουργίες και παραλλαγές των Windows 11 είναι λιγότερο πιθανό να υποφέρουν από την επίθεση, αλλά άλλοι μπορεί να πέσουν σε αυτό το κόλπο και να εκτελέσουν το αρχείο.
Το έγγραφο κακόβουλου λογισμικού μπορεί να εκτελέσει αρκετούς ελέγχους, όπως:
- ΧΩΡΗΤΙΚΟΤΗΤΑ ΜΝΗΜΗΣ
- Γλώσσα
- Έλεγχος VM
- Έλεγχος CLEARMIND
Το CLEARMIND είναι ένας τομέας για έναν πάροχο υπηρεσιών POS. Το FIN7 είναι γνωστό ότι στοχεύει τέτοιους τομείς για να αποκτήσει πρόσβαση σε δεδομένα μεγάλης κλίμακας.
Η ομάδα συνεχίζει να είναι ενεργή παρά τα μέτρα που ελήφθησαν για να τερματιστούν οι επιθέσεις. Οι χρήστες προειδοποιούνται να παραμείνουν ιδιαίτερα προσεκτικοί σε όλα τα αρχεία.
Έχετε υποφέρει από επιθέσεις κακόβουλου λογισμικού στο πρόσφατο παρελθόν; Μοιραστείτε τυχόν συμβουλές που βρήκατε χρήσιμες στην παρακάτω ενότητα σχολίων.
