- Van egy új Microsoft rosszindulatú dokumentum, amely a Windows 11 Alpha segítségével készült.
- A rosszindulatú dokumentumok a VBA makrókat kihasználva sikeresen beszivárognak a rendszerbe.
- A gyanú szerint a FIN7 csoport áll e támadás mögött, tekintettel korábbi esetekre hasonló esetekben.
A Microsoft felhasználóknak van még egy aggodalmuk. Egy biztonsági kutató cég felfedezett egy új Microsoft Word dokumentum rosszindulatú programot. A maldoc a Windows 11 Alpha rendszeren készült dokumentumként maszkolja magát. Az Anomali Threat Research hat hasonló rosszindulatú rosszindulatú programot fedezett fel, és figyelmezteti a felhasználókat, hogy legyenek éberek, miközben a Microsoft igyekszik lépést tartani a helyzettel.
A Microsoft a közelmúltban olyan rosszindulatú programok elleni támadásokkal szembesült, ahol támadók voltak ismerős és általánosan használt termelékenységi eszközök megszemélyesítése támadást indítani. A felfedezett kártevő dokumentum neve „Users-Progress-072021-1.doc”.
A támadás június végén történt
Anomali szerint a támadás valószínűleg június végén történt, és július végén ért véget. A cég megerősíti, hogy a FIN7 csoport áll a támadás mögött, és a fő cél az volt, hogy a Javascript változatát a hátsó ajtón keresztül juttassák el, ahogy 2018 óta próbálják. A FIN7 2013 óta a leghosszabb ideig működő kibertámadási csoport.
A fertőzés láncolata először egy képpel kezdődött, amely a Windows 11 Alpha segítségével készült. A kép arra utasította a felhasználókat, hogy a „Tartalom engedélyezése” vagy a „Szerkesztés engedélyezése” legyenek a következő lépésben.
Egy Twitter felhasználó NinjaOperator a Twitteren kérdezte, hogy a FIN7 áll a támadás mögött, amikor a hír megjelent.
A felhasználókat a dokumentum borítóján található utasítások segítségével csábítják el
A rosszindulatú program Visual Basic for Application makrókat használ. Sikeres végrehajtása után a javascript hasznos terhelése kiesik. A makró akkor kerül végrehajtásra, amikor a felhasználó olyan alapvető funkciókat hajt végre, mint a „szerkesztés engedélyezése” vagy a „tartalom engedélyezése”, ahogy a borítón található utasítások is írják.
A felhasználók ismerik Windows 11 felépítések és variációk kevésbé valószínű, hogy szenvednek a támadástól, de mások beleeshetnek ebbe a trükkbe, és futtathatják a fájlt.
A rosszindulatú program számos ellenőrzést végezhet, például:
- Memória kapacitás
- Nyelv
- VM ellenőrzés
- CLEARMIND ellenőrzés
A CLEARMIND a POS szolgáltató domainje. A FIN7 ismert arról, hogy ilyen tartományokat céloz meg, hogy hozzáférjen a nagyméretű adatokhoz.
A csoport továbbra is aktív, annak ellenére, hogy megtették a támadásokat. A felhasználókat figyelmeztetik, hogy fokozottan figyeljenek minden fájlra.
Szenvedett -e rosszindulatú támadások miatt a közelmúltban? Ossza meg a tippeket, amelyeket hasznosnak talált az alábbi megjegyzések részben.