- Ir jauns Microsoft ļaunprātīgas programmatūras dokuments, kas maskējas kā tāds, kas izveidots, izmantojot Windows 11 Alpha.
- Ļaunprātīgie dokumenti izmanto VBA makro, lai veiksmīgi iefiltrētos sistēmā.
- Tiek uzskatīts, ka FIN7 grupa ir aiz šī uzbrukuma, ņemot vērā viņu iepriekšējo vēsturi līdzīgos gadījumos.
Microsoft lietotājiem ir jāuztraucas par vēl vienu lietu. Drošības pētījumu firma atklājusi jaunu Microsoft Word dokumentu ļaunprātīgu programmatūru. Maldoc maskējas kā dokuments, kas izveidots operētājsistēmā Windows 11 Alpha. Anomali Threat Research ir atklājis sešas līdzīgas ļaunprātīgas programmatūras un brīdina lietotājus būt modriem, kamēr Microsoft cenšas sekot līdzi situācijai.
Microsoft nesen saskārās ar ļaunprātīgas programmatūras uzbrukumiem, kuros uzbrucēji ir bijuši uzdoties par pazīstamiem un bieži lietotiem produktivitātes rīkiem uzsākt uzbrukumu. Atklātā ļaunprātīgās programmatūras dokumenta nosaukums ir “Users-Progress-072021-1.doc”.
Uzbrukums notika jūnija beigās
Saskaņā ar Anomali teikto, uzbrukums, iespējams, notika jūnija beigās un beidzās jūlija beigās. Firma apstiprina, ka FIN7 grupa ir aiz uzbrukuma, un galvenais mērķis bija nodrošināt Javascript variāciju caur aizmugurējo durvīm, kā tas ir mēģināts kopš 2018. FIN7 tiek uzskatīts par visilgāk darbojošos kiberuzbrukumu grupu kopš 2013. gada.
Infekcijas ķēde vispirms sākās ar attēlu, kas tika maskēts kā izveidots ar Windows 11 Alpha. Attēls uzdeva lietotājiem “Iespējot saturu” vai “Iespējot rediģēšanu” nākamajai darbībai.
Twitter lietotājs nosaukts NinjaOperator izmantoja Twitter, lai apšaubītu, vai FIN7 bija aiz uzbrukuma, kad parādījās ziņas.
Vai tas esi tu #FIN7https://t.co/54VUmf21Pn
- Nicko K (@NinjaOperator) 2021. gada 3. septembris
Lietotājus vilina, izmantojot norādījumus uz dokumenta vāka
Ļaunprātīgas programmatūras dokumentā tiek izmantoti Visual Basic for Application makro. Kad tas ir izdevies, JavaScript lietderīgā slodze tiek atmesta. Makro tiek izpildīts, kad lietotājs veic pamatfunkcijas, piemēram, “rediģēšanas iespējošanu” vai “satura iespējošanu”, kā norādīts uz vāka.
Lietotāji, kas pazīstami Windows 11 būvējumi un variācijas retāk cieš no uzbrukuma, bet citi var iekrist šajā viltībā un palaist failu.
Ļaunprātīgas programmatūras dokuments var veikt vairākas pārbaudes, piemēram:
- Atmiņas ietilpība
- Valoda
- VM pārbaude
- CLEARMIND pārbaude
CLEARMIND ir POS pakalpojumu sniedzēja domēns. FIN7 ir pazīstams ar mērķauditoriju šādos domēnos, lai piekļūtu liela mēroga datiem.
Grupa turpina darboties, neraugoties uz pasākumiem, kas veikti, lai izbeigtu uzbrukumus. Lietotāji tiek brīdināti būt īpaši modriem visos failos.
Vai pēdējā laikā esat cietis no ļaunprātīgas programmatūras uzbrukumiem? Kopīgojiet visus padomus, kas jums šķita noderīgi komentāru sadaļā.
