- Pojawił się nowy dokument dotyczący złośliwego oprogramowania firmy Microsoft, który maskuje się jako ten stworzony w systemie Windows 11 Alpha.
- Złośliwe dokumenty wykorzystują makra VBA do pomyślnej infiltracji systemu.
- Podejrzewa się, że za tym atakiem stoi grupa FIN7, biorąc pod uwagę jej poprzednią historię w podobnych przypadkach.
Użytkownicy Microsoftu mają jeszcze jedną rzecz do zmartwienia. Firma zajmująca się badaniem bezpieczeństwa odkryła nowe złośliwe oprogramowanie do dokumentów Microsoft Word. Maldoc maskuje się jako dokument stworzony w systemie Windows 11 Alpha. Anomali Threat Research wykryło sześć podobnych złośliwych programów i ostrzega użytkowników, aby zachowali czujność, ponieważ Microsoft stara się być na bieżąco z sytuacją.
W niedawnej przeszłości firma Microsoft miała do czynienia z atakami złośliwego oprogramowania, w których znajdowali się napastnicy podszywanie się pod znane i powszechnie używane narzędzia produktywności przeprowadzić atak. Wykryty dokument złośliwego oprogramowania nosi nazwę „Users-Progress-072021-1.doc”.
Atak miał miejsce pod koniec czerwca
Według Anomali atak prawdopodobnie miał miejsce pod koniec czerwca i zakończył się pod koniec lipca. Firma potwierdza, że za atakiem stoi grupa FIN7, a głównym celem było dostarczenie odmiany JavaScriptu przez tylne drzwi, tak jak próbowali od 2018 roku. FIN7 jest uważana za najdłużej działającą grupę cyberatakową od 2013 roku.
Łańcuch infekcji rozpoczął się najpierw od obrazu podszywającego się pod system Windows 11 Alpha. Obraz zlecił użytkownikom „Włącz zawartość” lub „Włącz edycję” w następnym kroku.
Użytkownik Twittera o imieniu Ninja Operator zabrał się do Twittera, aby zapytać, czy FIN7 stał za atakiem, gdy pojawiły się wiadomości.
Czy to ty #FIN7https://t.co/54VUmf21Pn
— Nicko K (@NinjaOperator) 3 września 2021
Użytkowników zwabia instrukcje na okładce dokumentu
Dokument dotyczący złośliwego oprogramowania używa makr języka Visual Basic for Application. Po pomyślnym zakończeniu ładunek javascript jest usuwany. Makro jest wykonywane, gdy użytkownik wykonuje podstawowe funkcje, takie jak „włączanie edycji” lub „włączanie zawartości”, tak jak mówią instrukcje na okładce.
Użytkownicy zaznajomieni z Kompilacje i odmiany systemu Windows 11 są mniej narażeni na atak, ale inni mogą dać się nabrać na tę sztuczkę i uruchomić plik.
Dokument złośliwego oprogramowania może wykonać kilka testów, takich jak:
- Pojemność pamięci
- Język
- Sprawdzenie maszyny wirtualnej
- WYCZYŚĆ sprawdź
CLEARMIND to domena dla dostawcy usług POS. FIN7 jest znany z atakowania takich domen w celu uzyskania dostępu do danych na dużą skalę.
Grupa jest nadal aktywna pomimo działań podejmowanych w celu zakończenia ataków. Użytkownicy są ostrzegani, aby zachować szczególną czujność na wszystkich plikach.
Czy w ostatnim czasie padłeś ofiarą ataków złośliwego oprogramowania? Podziel się wskazówkami, które okazały się pomocne w sekcji komentarzy poniżej.
