מסתבר שמסמכי Microsoft Word נושאים הם למעשה תוכנות זדוניות

למשתמשי מיקרוסופט יש עוד משהו לדאוג. חברת מחקר אבטחה גילתה תוכנה זדונית חדשה למסמכי Microsoft Word. המלדוק מסווה את עצמו כמסמך שנעשה ב- Windows 11 Alpha. מחקר האיומים של Anomali גילה שש תוכנות זדוניות זדוניות דומות ומזהיר את המשתמשים להיות ערניים כאשר מיקרוסופט מנסה להישאר על המצב.

מיקרוסופט התמודדה עם התקפות תוכנה זדונית בעבר שבו היו תוקפים מתחזה לכלי פריון מוכרים ונפוצים כדי לפתוח במתקפה. מסמך התוכנה הזדונית שהתגלה נקרא "Users-Progress-072021-1.doc".

ההתקפה אירעה בסוף יוני

לדברי אנומאלי, הפיגוע ככל הנראה אירע בסוף יוני והסתיים בסוף יולי. החברה מאשרת כי קבוצת FIN7 עומדת מאחורי הפיגוע והמטרה העיקרית הייתה להעביר וריאציה של Javascript דרך הדלת האחורית כפי שניסו מאז 2018. FIN7 נחשבת לקבוצת מתקפות הסייבר הוותיקה ביותר מאז 2013.

שרשרת ההדבקה החלה לראשונה בתמונה שהופיעה כמיוצרת עם Windows 11 Alpha. התמונה הטילה על המשתמשים 'אפשר תוכן' או 'אפשר עריכה' לשלב הבא.

משתמש בטוויטר בשם NinjaOperator ניגש לטוויטר לשאול האם FIN7 עומד מאחורי הפיגוע כשפרצו החדשות.

האם זה אתה #FIN7https://t.co/54VUmf21Pn

- ניקו K (@NinjaOperator) 3 בספטמבר 2021

משתמשים נמשכים לפי הוראות שעל כריכת המסמך

מסמך התוכנה הזדונית משתמש בפקודות מאקרו של Visual Basic ליישומים. לאחר ההצלחה, מטען javascript יורד. המאקרו מבוצע כאשר משתמש מבצע פונקציות בסיסיות כגון 'הפעלת עריכה' או 'הפעלת תוכן', בדיוק כפי שאומרים ההוראות על הכריכה.

משתמשים המכירים Windows 11 בונה וריאציות נוטים פחות לסבול מההתקפה, אך אחרים עלולים ליפול על הטריק הזה ולהריץ את הקובץ.

מסמך התוכנה הזדונית יכול לבצע מספר בדיקות כגון:

• קיבולת זיכרון
• שפה
• בדיקת VM
• בדיקת CLEARMIND

CLEARMIND הוא דומיין של ספק שירותי קופה. FIN7 ידוע במיקוד לדומיינים כאלה כדי לקבל גישה לנתונים בהיקפים גדולים.

הקבוצה ממשיכה להיות פעילה למרות הצעדים שננקטו כדי להביא לסיום הפיגועים. משתמשים מוזהרים להישאר ערניים במיוחד בכל הקבצים.

האם סבלת מהתקפות זדוניות בעבר? שתף את כל הטיפים שמצאת מועילים בקטע ההערות למטה.