- Existuje nový škodlivý dokument spoločnosti Microsoft, ktorý sa maskuje ako dokument vytvorený v systéme Windows 11 Alpha.
- Škodlivé dokumenty využívajú makrá VBA na úspešnú infiltráciu do systému.
- Za týmto útokom je podozrivá skupina FIN7, vzhľadom na ich predchádzajúcu históriu v podobných prípadoch.
Používatelia spoločnosti Microsoft majú ešte jednu starosť. Firma zaoberajúca sa výskumom zabezpečenia objavila nový škodlivý softvér pre dokumenty programu Microsoft Word. Maldoc sa maskuje ako dokument vytvorený v systéme Windows 11 Alpha. Výskum hrozieb Anomali odhalil šesť podobných škodlivých softvérov a varuje používateľov, aby boli ostražití, pretože spoločnosť Microsoft sa snaží udržať si prehľad o situácii.
Microsoft v nedávnej minulosti čelil útokom škodlivého softvéru, kde boli útočníci vydávanie sa za známe a bežne používané nástroje produktivity začať útok. Zistený dokument o škodlivom softvéri má názov „Users-Progress-072021-1.doc“.
K útoku došlo koncom júna
Podľa Anomaliho k útoku pravdepodobne došlo koncom júna a skončil sa koncom júla. Firma potvrdzuje, že za útokom stojí skupina FIN7 a hlavným cieľom bolo dodať variáciu Javascriptu zadnými vrátkami, o ktoré sa pokúšajú od roku 2018. FIN7 je považovaná za najdlhšie fungujúcu skupinu kybernetických útokov od roku 2013.
Sieť infekcií sa najskôr začala obrázkom, ktorý bol maskovaný a bol vytvorený pomocou systému Windows 11 Alpha. Obraz prikázal používateľom, aby v nasledujúcom kroku „povolili obsah“ alebo „povolili úpravy“.
Používateľ Twitteru s menom Operátor Ninja sa na Twitteri obrátil s otázkou, či za útokom stáli FIN7, keď sa objavili správy.
Používatelia sa nechajú nalákať podľa pokynov na obale dokumentu
Dokument o škodlivom softvéri používa makrá Visual Basic for Application. Keď bude úspešný, užitočné zaťaženie javascriptu sa zníži. Makro sa spustí, keď používateľ vykoná základné funkcie, ako napríklad „povolenie úprav“ alebo „povolenie obsahu“, presne podľa pokynov na obale.
Používatelia oboznámení s Zostavy a variácie systému Windows 11 je menej pravdepodobné, že budú trpieť útokom, ale ostatní môžu tomuto triku prepadnúť a spustiť súbor.
Dokument o škodlivom softvéri môže vykonať niekoľko kontrol, ako napríklad:
- Kapacita pamäte
- Jazyk
- Kontrola VM
- CLEARMIND kontrola
CLEARMIND je doména pre poskytovateľa POS služieb. FIN7 je známy tým, že zacieľuje na tieto domény, aby získal prístup k rozsiahlym údajom.
Skupina je naďalej aktívna napriek opatreniam prijatým na ukončenie útokov. Používateľov upozorňujeme, aby boli pri všetkých súboroch mimoriadne ostražití.
Trpeli ste v nedávnej minulosti útokmi škodlivého softvéru? Podeľte sa o všetky tipy, ktoré považujete za užitočné, v sekcii komentárov nižšie.