- Windows 11 Alpha ile yapılmış olarak kendini maskeleyen yeni bir Microsoft kötü amaçlı yazılım belgesi var.
- Kötü amaçlı belgeler, sisteme başarıyla sızmak için VBA makrolarından yararlanır.
- Benzer vakalardaki geçmişleri göz önüne alındığında, FIN7 grubunun bu saldırının arkasında olduğundan şüpheleniliyor.
Microsoft kullanıcılarının endişelenmesi gereken bir şey daha var. Bir güvenlik araştırma firması, yeni bir Microsoft Word belgesi kötü amaçlı yazılımı keşfetti. Maldoc, kendisini Windows 11 Alpha'da yapılmış bir belge olarak maskeler. Anomali Threat Research, benzer altı kötü amaçlı kötü amaçlı yazılım keşfetti ve Microsoft durumun üstesinden gelmeye çalışırken kullanıcıları dikkatli olmaları konusunda uyarıyor.
Microsoft, yakın geçmişte saldırganların hedef alındığı kötü amaçlı yazılım saldırılarıyla karşı karşıya kaldı. tanıdık ve yaygın olarak kullanılan üretkenlik araçlarının kimliğine bürünme bir saldırı başlatmak için. Bulunan kötü amaçlı yazılım belgesinin adı “Users-Progress-072021-1.doc”.
Saldırı Haziran sonunda gerçekleşti
Anomali'ye göre, saldırı muhtemelen Haziran ayı sonlarında gerçekleşti ve Temmuz ayı sonlarında sona erdi. Firma, saldırının arkasında FIN7 grubunun olduğunu ve asıl amacın 2018'den beri denedikleri gibi arka kapıdan bir Javascript varyasyonu sunmak olduğunu doğruluyor. FIN7, 2013'ten bu yana en uzun süredir devam eden siber saldırı grubu olarak kabul ediliyor.
Bulaşma zinciri ilk olarak Windows 11 Alpha ile yapılmış gibi görünen bir görüntüyle başladı. Görüntü, kullanıcılara bir sonraki adım için "İçeriği etkinleştir" veya "Düzenlemeyi etkinleştir" görevi verdi.
adlı bir Twitter kullanıcısı NinjaOperatör Haber çıktığında saldırının arkasında FIN7'nin olup olmadığını sorgulamak için Twitter'a gitti.
Sen olduğunu #FIN7https://t.co/54VUmf21Pn
— Nicko K (@NinjaOperatör) 3 Eylül 2021
Kullanıcılar, belgenin kapağındaki talimatlar kullanılarak cezbedilir
Kötü amaçlı yazılım belgesi, Visual Basic for Application makrolarını kullanıyor. Başarılı olduğunda, bir javascript yükü bırakılır. Bir kullanıcı, kapaktaki talimatların söylediği gibi, "düzenlemeyi etkinleştirme" veya "içeriği etkinleştirme" gibi temel işlevleri gerçekleştirdiğinde makro yürütülür.
Tanıdık kullanıcılar Windows 11 yapıları ve varyasyonları saldırıdan etkilenme olasılığı daha düşüktür, ancak diğerleri bu numaraya düşüp dosyayı çalıştırabilir.
Kötü amaçlı yazılım belgesi, aşağıdakiler gibi birkaç kontrol gerçekleştirebilir:
- Hafıza kapasitesi
- Dilim
- sanal makine kontrolü
- TEMİZLE kontrolü
CLEARMIND, bir POS servis sağlayıcısı için bir alan adıdır. FIN7, büyük ölçekli verilere erişim elde etmek için bu tür alanları hedeflemesiyle bilinir.
Grup, saldırıları sona erdirmek için alınan önlemlere rağmen faaliyetlerini sürdürüyor. Kullanıcılar, tüm dosyalarda ekstra dikkatli olmaları konusunda uyarılır.
Yakın geçmişte herhangi bir kötü amaçlı yazılım saldırısı yaşadınız mı? Yararlı bulduğunuz ipuçlarını aşağıdaki yorum bölümünde paylaşın.
