- Există un nou document Microsoft malware care se maschează ca unul realizat cu Windows 11 Alpha.
- Documentele rău intenționate exploatează macrocomenzile VBA pentru a se infiltra cu succes în sistem.
- Grupul FIN7 este suspectat de a fi în spatele acestui atac, având în vedere istoricul lor anterior în cazuri similare.
Utilizatorii Microsoft au încă un lucru de care să se îngrijoreze. O firmă de cercetare în domeniul securității a descoperit un nou malware pentru documente Microsoft Word. Maldocul se maschează ca un document realizat pe Windows 11 Alpha. Anomali Threat Research a descoperit șase programe malware dăunătoare similare și avertizează utilizatorii să fie vigilenți în timp ce Microsoft încearcă să rămână în fruntea situației.
Microsoft s-a confruntat cu atacuri malware în trecutul recent, unde au fost atacatorii suplinirea instrumentelor de productivitate familiare și utilizate în mod obișnuit pentru a lansa un atac. Documentul malware descoperit este denumit „Users-Progress-072021-1.doc”.
Atacul a avut loc la sfârșitul lunii iunie
Potrivit Anomali, atacul a avut loc probabil la sfârșitul lunii iunie și s-a încheiat la sfârșitul lunii iulie. Firma afirmă că grupul FIN7 se află în spatele atacului și scopul principal a fost de a furniza o variantă de Javascript prin ușa din spate, așa cum au încercat încă din 2018. FIN7 este considerat cel mai longeviv grup de atacuri cibernetice din 2013.
Lanțul de infecție a început mai întâi cu o imagine care a fost realizată cu Windows 11 Alpha. Imaginea a însărcinat utilizatorii să „Activare conținut” sau „Activare editare” pentru pasul următor.
Un utilizator Twitter numit NinjaOperator a intrat pe Twitter pentru a se întreba dacă FIN7 se află în spatele atacului când a apărut știrea.
Ești tu # FIN7https://t.co/54VUmf21Pn
- Nicko K (@NinjaOperator) 3 septembrie 2021
Utilizatorii sunt atrași folosind instrucțiunile de pe coperta documentului
Documentul malware utilizează Visual Basic pentru macrocomenzile aplicației. Odată ce a reușit, o sarcină utilă javascript este abandonată. Macrocomanda devine executată atunci când un utilizator îndeplinește funcții de bază, cum ar fi „activarea editării” sau „activarea conținutului”, exact așa cum spun instrucțiunile de pe copertă.
Utilizatori familiarizați cu Versiunile și versiunile Windows 11 sunt mai puțin susceptibile de a suferi din cauza atacului, dar alții pot cădea după acest truc și pot rula fișierul.
Documentul malware poate efectua mai multe verificări, cum ar fi:
- Capacitate de memorie
- Limba
- Verificare VM
- Verificați CLEARMIND
CLEARMIND este un domeniu pentru un furnizor de servicii POS. FIN7 este cunoscut pentru direcționarea unor astfel de domenii pentru a avea acces la date pe scară largă.
Grupul continuă să fie activ în ciuda măsurilor luate pentru a pune capăt atacurilor. Utilizatorii sunt avertizați să rămână foarte vigilenți la toate fișierele.
Ați suferit atacuri malware în trecutul recent? Distribuiți sfaturile pe care le-ați găsit utile în secțiunea de comentarii de mai jos.
