- Há um novo documento de malware da Microsoft que se mascara como um feito com o Windows 11 Alpha.
- Os documentos maliciosos exploram macros VBA para se infiltrar com sucesso no sistema.
- O grupo FIN7 é suspeito de estar por trás desse ataque, dado seu histórico anterior em casos semelhantes.
Os usuários da Microsoft têm mais uma coisa com que se preocupar. Uma empresa de pesquisa de segurança descobriu um novo malware de documento do Microsoft Word. O maldoc se mascara como um documento feito no Windows 11 Alpha. A Anomali Threat Research descobriu seis malwares maliciosos semelhantes e avisa os usuários para ficarem vigilantes enquanto a Microsoft tenta controlar a situação.
A Microsoft tem enfrentado ataques de malware no passado recente, onde os invasores estiveram personificando ferramentas de produtividade conhecidas e comumente usadas para lançar um ataque. O documento de malware descoberto é denominado “Users-Progress-072021-1.doc”.
O ataque ocorreu no final de junho
De acordo com o Anomali, o ataque provavelmente ocorreu no final de junho e terminou no final de julho. A firma afirma que o grupo FIN7 está por trás do ataque e que o objetivo principal era entregar uma variação de Javascript através da porta dos fundos como vêm tentando desde 2018. FIN7 é considerado o grupo de ataque cibernético mais antigo desde 2013.
A cadeia de infecção começou com uma imagem que fingia ter sido feita com o Windows 11 Alpha. A imagem encarregou os usuários de "Ativar o conteúdo" ou "Ativar a edição" para a próxima etapa.
Um usuário do Twitter chamado NinjaOperator acessou o Twitter para questionar se FIN7 estava por trás do ataque quando a notícia foi divulgada.
Isso é você # FIN7https://t.co/54VUmf21Pn
- Nicko K (@NinjaOperator) 3 de setembro de 2021
Os usuários são atraídos usando as instruções na capa do documento
O documento de malware está usando macros do Visual Basic for Application. Uma vez bem-sucedido, uma carga javascript é descartada. A macro é executada quando um usuário executa funções básicas, como ‘habilitar edição’ ou ‘habilitar conteúdo’, assim como as instruções dizem na capa.
Usuários familiarizados com Versões e compilações do Windows 11 são menos propensos a sofrer com o ataque, mas outros podem cair nesse truque e executar o arquivo.
O documento de malware pode realizar várias verificações, como:
- Capacidade de memória
- Língua
- Verificação de VM
- Verificação CLEARMIND
CLEARMIND é um domínio para um provedor de serviços POS. FIN7 é conhecido por ter como alvo esses domínios para obter acesso a dados em grande escala.
O grupo continua ativo, apesar das medidas tomadas para encerrar os ataques. Os usuários são avisados para permanecerem vigilantes em todos os arquivos.
Você já sofreu de algum ataque de malware no passado recente? Compartilhe todas as dicas que você achou úteis na seção de comentários abaixo.
