注意新恶意软件活动的“Windows 11 Alpha”
admin
2023-08-02 13:23:22
0

computer-hackerWincomputer-hackerWin

攻击者最近部署了一个恶意软件活动,该活动使用 Windows 11 主题来引诱收件人激活放置在 Microsoft Word 文档中的恶意代码。该活动背后的对手可能是 FIN7 网络犯罪集团,也称为 Carbanak 和 Navigator,专门窃取支付卡数据。

久经考验的方法

对手利用了围绕微软开发其下一个操作系统版本的细节而引起的嗡嗡声,该版本于 6 月初开始。

网络犯罪分子在 Microsoft Word 文档中添加宏代码,最终下载一个 JavaScript 后门,让攻击者可以提供他们想要的任何负载。

网络安全公司 Anomali 的研究人员分析了六份此类文件,并表示交付的后门似乎是 FIN7 组织至少自 2018 年以来常用的有效载荷的变体。

活动中使用的名称似乎表明该活动可能发生在 6 月下旬至 7 月下旬之间,即有关 Windows 11 的新闻开始定期出现的时期。

目前尚不清楚恶意文件是如何传送的,但网络钓鱼电子邮件通常是如何发生的。打开文档会显示带有文本的 Windows 11 图像,旨在诱使收件人启用宏内容。

Windows-11-Themed-Maldoc_AnomaliWindows-11-Themed-Maldoc_Anomali

声称该文档是使用较新的操作系统生成的,这可能会使一些用户认为存在阻止访问内容的兼容性问题,并且按照说明操作可以消除该问题。

如果用户根据指示采取行动,他们就会激活并执行威胁行为者植入文档中的恶意 VBA 宏。

代码被混淆以阻碍分析,但有一些方法可以清除多余的代码并只留下相关的字符串。

VBA-Macro-without-Junk-Data_AnomaliWindows-11-Themed-Maldoc_Anomali
未混淆的宏

Anomali 研究人员发现,所包含的 VBScript 依赖于文档中隐藏表中编码的一些值来对受感染的计算机执行语言检查。

检测特定语言(俄语、乌克兰语、摩尔多瓦语、索比亚语、斯洛伐克语、斯洛文尼亚语、爱沙尼亚语、塞尔维亚语)会阻止恶意活动并删除带有编码值的表。

该代码还查找域 CLEARMIND,Anomali 研究人员称该域似乎指的是销售点 (PoS) 提供商。

代码进行的其他检查包括:

  • Reg 俄语的关键语言偏好
  • 虚拟机 – VMWare、VirtualBox、innotek、QEMU、Oracle、Hyper 和 Parallels(如果检测到 VM,脚本将被终止)
  • 可用内存(如果小于 4GB 则停止)
  • 通过 LDAP 检查 RootDSE

“如果检查结果令人满意,脚本将继续执行将名为 word_data.js 的 JavaScript 文件放到 TEMP 文件夹中的函数” – Anomali

FIN7适应症

Anomali 研究人员说,JavaScript 被严重混淆,清理它会发现一个类似于与 FIN7 网络犯罪组织相关的其他后门的后门。

归因具有中等置信度,基于以下因素:

  • POS 提供商的目标与之前的 FIN7 活动保持一致
  • 使用带有 VBA 宏的诱饵文档文件也与之前的 FIN7 活动保持一致
  • FIN7 历史上使用过 Javascript 后门
  • 检测到俄语、乌克兰语或其他几种东欧语言后感染停止
  • 受密码保护的文件
  • 来自 Javascript 文件“group=doc700&rt=0&secret=7Gjuyf39Tut383w&time=120000&uid=”的工具标记遵循与之前的 FIN7 活动类似的模式

FIN7 至少自 2013 年以来就已存在,但自 2015 年以来就广为人知。其一些成员被捕并被判刑,但攻击和恶意软件继续被归因于该组织,甚至在 2018 年之后,该组织的几名成员被捕。

攻击者专注于窃取属于各种企业客户的支付卡数据。他们在美国的活动造成了超过 10 亿美元的损失,窃取了大约 3,600 个独立营业地点的 6,500 多个销售点终端处理的超过 2,000 万张卡记录。

FIN7 击中的公司包括 Chipotle Mexican Grill、Chili\’s、Arby\’s、Red Robin 和 Jason\’s Deli。

相关内容

热门资讯

Windows 11 和 10... Windows 11/10 文件夹属性中缺少共享选项卡 – 已修复 1.检查共享选项卡是否可用 右键...
Radmin VPN Wind... Radmin VPN 是一款免费且用户友好的软件,旨在牢固地连接计算机以创建一个有凝聚力的虚拟专用网...
如何修复 Steam 内容文件... Steam 内容文件锁定是当您的 Steam 文件无法自行更新时出现的错误。解决此问题的最有效方法之...
事件 ID 7034:如何通过... 点击进入:ChatGPT工具插件导航大全 服务控制管理器 (SCM) 负责管理系统上运行的服务的活动...
在 Windows 11 中打... 什么是链路状态电源管理? 您可以在系统控制面板的电源选项中看到链接状态电源管理。它是 PCI Exp...
Hive OS LOLMine... 目前不清退的交易所推荐: 1、全球第二大交易所OKX欧意 国区邀请链接: https://www.m...
在 iCloud 上关闭“查找... 如果您是 Apple 的长期用户,您肯定会遇到过 Find My 应用程序,它本机安装在 iPhon...
iPhone 屏幕上有亮绿色斑... iPhone 是市场上最稳定的智能手机之一,这主要归功于专为它们设计的 iOS 操作系统。然而,他们...
farols1.1.501.0... faro ls 1.1.501.0(64bit)可以卸载,是一款无需连接外部PC机或笔记本计算机即可...
balenaEtcher烧录后... balenaEtcher烧录后u盘或者内存卡无法识别不能使用的解决方法想要恢复原来的方法,使用win...