- Существует новый вредоносный документ Microsoft, маскирующийся под Windows 11 Alpha.
- Вредоносные документы используют макросы VBA для успешного проникновения в систему.
- Предполагается, что за этой атакой стоит группа FIN7, учитывая их предыдущую историю в аналогичных случаях.
У пользователей Microsoft есть еще одна причина для беспокойства. Фирма, занимающаяся исследованиями в области безопасности, обнаружила новую вредоносную программу для документов Microsoft Word. Maldoc маскируется под документ, созданный в Windows 11 Alpha. Anomali Threat Research обнаружила шесть похожих вредоносных программ и призывает пользователей проявлять бдительность, поскольку Microsoft пытается контролировать ситуацию.
В недавнем прошлом Microsoft сталкивалась с атаками вредоносных программ. олицетворяя знакомые и часто используемые инструменты повышения производительности начать атаку. Обнаруженный вредоносный документ называется «Users-Progress-072021-1.doc».
Атака произошла в конце июня.
По данным Anomali, атака, скорее всего, произошла в конце июня и закончилась в конце июля. Фирма утверждает, что за атакой стоит группа FIN7, и основная цель заключалась в том, чтобы доставить через бэкдор вариант Javascript, как они пытались с 2018 года. FIN7 считается самой продолжительной группой кибератак с 2013 года.
Цепочка заражения сначала началась с изображения, которое маскировалось под Windows 11 Alpha. Изображение поручило пользователям «Разрешить содержание» или «Разрешить редактирование» для следующего шага.
Пользователь Twitter по имени НиндзяОператор отправился в Twitter, чтобы задать вопрос, стоит ли за атакой FIN7, когда появились новости.
Это ты # FIN7https://t.co/54VUmf21Pn
- Нико К. (@NinjaOperator) 3 сентября 2021 г.
Пользователи соблазняются инструкциями на обложке документа.
В этом вредоносном документе используются макросы Visual Basic для приложений. В случае успеха полезная нагрузка javascript удаляется. Макрос запускается, когда пользователь выполняет основные функции, такие как «разрешение редактирования» или «включение контента», как указано в инструкциях на обложке.
Пользователи, знакомые с Сборки и варианты Windows 11 реже пострадают от атаки, но другие могут упасть на эту уловку и запустить файл.
Документ вредоносного ПО может выполнять несколько проверок, таких как:
- Объем памяти
- Язык
- Проверка ВМ
- CLEARMIND проверка
CLEARMIND - это домен для поставщика POS-услуг. FIN7 известен тем, что нацелен на такие домены для получения доступа к крупномасштабным данным.
Группа продолжает действовать, несмотря на принятые меры по прекращению нападений. Предупреждаем пользователей о необходимости проявлять особую бдительность в отношении всех файлов.
Сталкивались ли вы с какими-либо атаками вредоносных программ в последнее время? Поделитесь любыми советами, которые вы сочли полезными, в разделе комментариев ниже.
