不使用宏的情況 Multi-Stage Word 也可讓用戶中馬

垃圾郵件發布者正在使用一種新技術來感染用戶中的惡意軟體，雖然此攻擊依賴於用戶打開Word文檔，但它並不涉及用戶必須允許執行宏腳本。

這種新的無宏技術目前正在積極開發之中，Trustwave SpiderLabs的研究人員正在進行惡意軟體活動。

該公司表示，騙子正在使用這種多階段，無宏技術來通過密碼竊取器感染用戶。目前，有證據表明，只有一個組織正在使用這種新穎的技巧，儘管這肯定會被其他人採用。

新技術的開發鏈

下面詳細介紹實際的開發鏈，並依賴大量資源，如DOCX，RTF，HTA，VBScript和PowerShell。

victim受害者收到帶有DOCX文件附件的垃圾郵件。

?受害者下載並打開DOCX文件。

?DOCX文件包含嵌入的OLE對象。

?OLE對象下載並打開RTF（偽裝成DOC）文件。

?DOC文件使用CVE-2017-11882 Office公式編輯器漏洞。

?利用代碼運行MSHTA命令行。

?MSHTA命令行下載並運行HTA文件。

?HTA文件包含解壓縮PowerShell腳本的VBScript。

?PowerShell腳本下載並安裝密碼竊取程序。

?惡意軟體竊取瀏覽器，電子郵件和FTP客戶端的密碼。

?惡意軟體將數據上傳到遠程伺服器。

Trustwave表示，它看到這種攻擊方式是通過電子郵件發送惡意文件

TNT STATEMENT OF ACCOUNT – ...............

Request for Quotation (RFQ) -

Telex Transfer Notification

SWIFT COPY FOR BALANCE PAYMENT

如果用戶以某種方式破壞這項新技術的開發鏈，這是保持安全的唯一方法。最簡單的方法是讓Windows和Office保持最新狀態。

微軟在2018年1月發布的Patch Tuesday安全更新中包含了一個補丁，該補丁刪除了部分公式編輯器的功能以緩解CVE-2017-11882。

詳細介紹這一新攻擊的Trustwave報告中提供了國際石油公司。

華明君，提示：儘快打補丁吧！

你可能喜歡

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！