- On olemassa uusi Microsoftin haittaohjelma -asiakirja, joka peittää itsensä Windows 11 Alpha -versiona.
- Haitalliset asiakirjat hyödyntävät VBA -makroja onnistuneesti tunkeutumaan järjestelmään.
- FIN7 -ryhmän epäillään olevan hyökkäyksen takana, koska heillä on aiempi historia vastaavissa tapauksissa.
Microsoftin käyttäjillä on vielä yksi huolenaihe. Turvallisuustutkimusyritys on löytänyt uuden Microsoft Word -asiakirjahaittaohjelman. Maldoc peittää itsensä asiakirjana, joka on tehty Windows 11 Alpha -käyttöjärjestelmässä. Anomali Threat Research on löytänyt kuusi samanlaista haittaohjelmaa ja varoittaa käyttäjiä valppaana, kun Microsoft yrittää pysyä tilanteen tasalla.
Microsoft on viime aikoina kohdannut haittaohjelmahyökkäyksiä, joissa hyökkääjät ovat olleet esiintyminen tuttuina ja yleisesti käytettyinä tuottavuustyökaluina aloittaakseen hyökkäyksen. Löydetty haittaohjelma on nimeltään "Users-Progress-072021-1.doc".
Hyökkäys tapahtui kesäkuun lopussa
Anomalin mukaan hyökkäys tapahtui todennäköisesti kesäkuun lopussa ja päättyi heinäkuun lopussa. Yritys vahvistaa, että FIN7 -ryhmä on hyökkäyksen takana ja päätavoitteena oli toimittaa Javascript -muunnelma takaoven kautta, kuten he ovat yrittäneet vuodesta 2018 lähtien. FIN7: ää pidetään pisimpään toimineena verkkohyökkäysryhmänä vuodesta 2013.
Tartuntaketju alkoi ensin kuvasta, joka peitettiin Windows 11 Alpha -käyttöjärjestelmällä. Kuva antoi käyttäjille tehtäväksi "Ota sisältö käyttöön" tai "Ota muokkaus käyttöön" seuraavaan vaiheeseen.
Twitterin käyttäjä nimeltä NinjaOperator otti Twitteriin kysyäkseen, oliko FIN7 hyökkäyksen takana, kun uutinen puhkesi.
Oletko se sinä #FIN7https://t.co/54VUmf21Pn
- Nicko K (@NinjaOperator) 3. syyskuuta 2021
Käyttäjiä houkutellaan asiakirjan kannessa olevien ohjeiden avulla
Haittaohjelma -asiakirja käyttää Visual Basic for Application -makroja. Onnistumisen jälkeen javascript -hyötykuorma pudotetaan. Makro suoritetaan, kun käyttäjä suorittaa perustoimintoja, kuten "muokkauksen salliminen" tai "sisällön salliminen", aivan kuten kannessa olevat ohjeet.
Käyttäjät, jotka tuntevat Windows 11: n rakenteet ja muunnelmat ovat vähemmän todennäköisiä kärsimään hyökkäyksestä, mutta muut voivat joutua tähän temppuun ja suorittaa tiedoston.
Haittaohjelma -asiakirja voi suorittaa useita tarkistuksia, kuten:
- Muistikapasiteetti
- Kieli
- VM tarkistus
- CLEARMIND tarkistus
CLEARMIND on POS -palveluntarjoajan toimialue. FIN7 tunnetaan kohdistamasta tällaisiin verkkotunnuksiin saadakseen pääsyn laajamittaisiin tietoihin.
Ryhmä on edelleen aktiivinen huolimatta hyökkäysten lopettamiseksi toteutetuista toimenpiteistä. Käyttäjiä varoitetaan pysymään erityisen valppaina kaikissa tiedostoissa.
Oletko kärsinyt haittaohjelmahyökkäyksistä viime aikoina? Jaa vinkit, joita pidit hyödyllisinä alla olevassa kommenttiosassa.
