- Існує новий документ про шкідливе програмне забезпечення Microsoft, який маскується як документ, створений за допомогою Windows 11 Alpha.
- Шкідливі документи використовують макроси VBA для успішного проникнення в систему.
- Підозрюється, що за цим нападом стоїть група FIN7, враховуючи їх попередню історію у подібних випадках.
Користувачі Microsoft мають турбуватися ще про одне. Дослідницька компанія з питань безпеки виявила нову шкідливу програму для документів Microsoft Word. Maldoc маскується як документ, створений у Windows 11 Alpha. Дослідження Anomali Threat Research виявило шість схожих шкідливих програм і попереджає користувачів бути пильними, оскільки Microsoft намагається тримати ситуацію в курсі.
У недавньому минулому Microsoft стикалася з атаками шкідливого програмного забезпечення, де були й зловмисники видаючи себе за знайомі та широко використовувані інструменти продуктивності для початку атаки. Виявлений документ про шкідливе програмне забезпечення має назву "Users-Progress-072021-1.doc".
Напад стався наприкінці червня
За словами Аномалі, напад, ймовірно, стався наприкінці червня і закінчився наприкінці липня. Фірма стверджує, що за атакою стоїть група FIN7, і основною метою було поставити варіанти Javascript через бекдор, як вони намагаються з 2018 року. FIN7 вважається найдовшою групою кібератак з 2013 року.
Ланцюг зараження спочатку розпочався із зображення, яке маскувалося під час створення Windows 11 Alpha. Зображення доручає користувачам "Увімкнути вміст" або "Увімкнути редагування" для наступного кроку.
Користувач Twitter на ім’я NinjaOperator звернувся до Twitter, щоб запитати, чи стоїть за атакою FIN7, коли вийшла новина.
Це ти #FIN7https://t.co/54VUmf21Pn
- Ніко К (@NinjaOperator) 3 вересня 2021 року
Користувачів заманюють за допомогою інструкцій на обкладинці документа
Документ про шкідливе програмне забезпечення використовує Visual Basic для макросів програм. Після успіху корисне навантаження javascript відпадає. Макрос виконується, коли користувач виконує основні функції, такі як "включення редагування" або "включення вмісту", як сказано в інструкціях на обкладинці.
Користувачі, знайомі з Збірки та варіанти Windows 11 рідше страждають від атаки, але інші можуть потрапити на цей трюк і запустити файл.
Документ про шкідливе програмне забезпечення може виконувати кілька перевірок, таких як:
- Ємність пам'яті
- Мова
- Перевірка ВМ
- Перевірка CLEARMIND
CLEARMIND - це домен постачальника POS -послуг. FIN7 відомий своїм націлюванням на такі домени, щоб отримати доступ до широкомасштабних даних.
Група продовжує бути активною, незважаючи на вжиті заходи для припинення нападів. Користувачів попереджають, щоб вони були пильними щодо всіх файлів.
Чи страждали ви від недавніх минулих атак шкідливого програмного забезпечення? Поділіться будь -якими порадами, які ви вважаєте корисними, у розділі коментарів нижче.
