- On olemas uus Microsofti pahavara dokument, mis varjab ennast Windows 11 Alphaga tehtud dokumendina.
- Pahatahtlikud dokumendid kasutavad VBA makrosid süsteemi edukalt sisse tungimiseks.
- Selle rünnaku taga kahtlustatakse rühmitust FIN7, arvestades nende varasemat ajalugu sarnastel juhtudel.
Microsofti kasutajatel on veel üks mure. Turvauuringute firma avastas uue Microsoft Wordi dokumendi pahavara. Maldoc maskeerib ennast dokumendina, mis on tehtud Windows 11 Alpha abil. Anomali Threat Research on avastanud kuus sarnast pahatahtlikku pahavara ja hoiatab kasutajaid valvel olema, kui Microsoft üritab olukorraga kursis olla.
Microsoft on lähiminevikus silmitsi seisnud pahavara rünnakutega, kus ründajad on olnud esinemine tuttavate ja laialdaselt kasutatavate tootlikkuse tööriistadega rünnaku alustamiseks. Avastatud pahavara dokument kannab nime „Users-Progress-072021-1.doc”.
Rünnak toimus juuni lõpus
Anomali sõnul toimus rünnak tõenäoliselt juuni lõpus ja lõppes juuli lõpus. Firma kinnitab, et FIN7 rühm on rünnaku taga ja peamine eesmärk oli pakkuda tagaukse kaudu Javascripti variatsiooni, nagu nad on proovinud alates 2018. FIN7 peetakse pikimalt tegutsenud küberrünnakugrupiks alates 2013. aastast.
Nakkusahel sai alguse pildist, mis maskeeriti olevat tehtud Windows 11 Alpha abil. Pilt tegi kasutajatele ülesandeks järgmise sammu jaoks lubada sisu või lubada redigeerimine.
Twitteri kasutaja nimega Ninjaoperaator küsis Twitterist, kas uudise puhkemisel oli rünnaku taga FIN7.
Oled see sina #FIN7https://t.co/54VUmf21Pn
- Nicko K (@NinjaOperator) 3. september 2021
Kasutajaid meelitatakse dokumendi kaanel olevate juhiste abil
Pahavara dokument kasutab Visual Basic for Application makrosid. Kui see on õnnestunud, jäetakse JavaScripti kasulik koormus maha. Makro käivitatakse siis, kui kasutaja täidab põhifunktsioone, nagu „redigeerimise lubamine” või „sisu lubamine”, nagu kaanel olevad juhised ütlevad.
Kasutajad, kes on tuttavad Windows 11 versioonid ja variatsioonid kannatavad rünnaku all vähem, kuid teised võivad selle triki alla jääda ja faili käivitada.
Pahavara dokument võib teha mitmeid kontrolle, näiteks:
- Mälu maht
- Keel
- VM kontroll
- CLEARMIND kontroll
CLEARMIND on POS -teenuse pakkuja domeen. FIN7 on tuntud selliste domeenide sihtimise eest, mis võimaldavad juurdepääsu suuremahulistele andmetele.
Rühm on jätkuvalt aktiivne, hoolimata rünnakute lõpetamiseks võetud meetmetest. Kasutajaid hoiatatakse, et nad oleksid kõigi failide suhtes eriti valvsad.
Kas olete lähiminevikus kannatanud mõne pahavara rünnaku all? Jagage näpunäiteid, mida leidsite abiks allpool olevas kommentaaride jaotises.
