Connect with us

Hi, what are you looking for?

News

Κακόβουλα έγγραφα Word ισχυρίζονται ότι έχουν δημιουργηθεί σε Windows 11

windows-11-6377156_1280

Στηριζόμενοι σε μια απλή μέθοδο που έχει αποδειχθεί επιτυχημένη ξανά και ξανά, ένα hacking group έχει αναπτύξει πρόσφατα μια καμπάνια κακόβουλου λογισμικού που χρησιμοποίησε την ανακοίνωση κυκλοφορίας των Windows 11 για να παρασύρει τους παραλήπτες να ενεργοποιήσουν κακόβουλο κώδικα που έχει τοποθετηθεί μέσα σε έγγραφα του Microsoft Word.

Οι ερευνητές ασφαλείας πιστεύουν ότι το group πίσω από την καμπάνια μπορεί να είναι η ομάδα κυβερνοεγκλήματος FIN7, γνωστή και ως Carbanak και Navigator, που ειδικεύεται στην κλοπή δεδομένων καρτών.

Τα θύματα δέχτηκαν έγγραφα Microsoft Word που περιείχαν μακροεντολές οι οποίες αν εκτελεστούν κατεβάζουν ένα JavaScript backdoor. Αυτό με τη σειρά του δίνει στους επιτιθέμενους δυνατότητα να κατεβάσουν περαιτέρω payload στον υπολογιστή του θύματος.

Ερευνητές από την εταιρεία κυβερνοασφάλειας Anomali ανέλυσαν έξι τέτοια έγγραφα και είπαν το payload είναι παραλλαγή του payload που χρησιμοποιείται συνήθως από το FIN7 από το 2018 τουλάχιστον.

Τα ονόματα που χρησιμοποιήθηκαν στην καμπάνια φαίνεται να υποδηλώνουν ότι η δραστηριότητα μπορεί να πραγματοποιήθηκε από τα τέλη Ιουνίου έως τα τέλη Ιουλίου, μια περίοδο αμέσως μετά την εμφάνιση των ειδήσεων για τα Windows 11. Δεν είναι σαφές πώς παραδόθηκαν τα κακόβουλα αρχεία, συνήθως χρησιμοποιείται η μέθοδος του phising.

Το άνοιγμα του εγγράφου δείχνει εικόνες των Windows 11 με κείμενο που έχει σχεδιαστεί για να ξεγελάσει τον παραλήπτη ώστε να ενεργοποιήσει μακροεντολή. Ο ισχυρισμός ότι το έγγραφο δημιουργήθηκε με νεότερο λειτουργικό σύστημα μπορεί να κάνει ορισμένους χρήστες να πιστεύουν ότι υπάρχει πρόβλημα συμβατότητας που εμποδίζει την πρόσβαση στο περιεχόμενο και ότι ακολουθώντας τις οδηγίες εξαλείφεται το πρόβλημα. Εάν ο χρήστης ενεργοποιήσει τις κακόβουλες μακροεντολές VBA τότε εκτελείται ο κακόβουλος κώδικας. Ο κώδικας είναι obfuscated για να εμποδίσει την ανάλυση, σύμφωνα με τους ερευνητές της Anomali επικοινωνεί με έναν C2 server, ενώ πριν την εκτελεσή του ελέγχει αν στον υπολογιστή του θύματος είναι εγκατεστημένη κάποια γλώσσα όπως Ρωσικά, Ουκρανικά, Μολδαβικά, Σορβικά, Σλοβακικά, Σλοβενικά, Εσθονικά, Σέρβικα. Εάν ισχύει αυτό, τότε ο κακόβουλος κώδικας δεν εκτελείται!

Μπορείτε να δείτε όλη την ανάλυση της εταιρείας Anomali εδώ:

https://www.anomali.com/blog/cybercrime-group-fin7-using-windows-11-alpha-themed-docs-to-drop-javascript-backdoor

Trending

Δείτε επίσης

Crypto

Τι είναι το blockchain; Το blockchain είναι ένα σύστημα καταγραφής πληροφορίας, το οποίο εγγυάται ασφάλεια, διαφάνεια και αποκέντρωση (decentralization). Επιτρέπει τη δημόσια καταγραφή δεδομένων,...

Resources

Ο διπλός έλεγχος ταυτότητας παρέχει ένα επιπλέον επίπεδο ασφαλείας, πέραν του παραδοσιακού τρόπου σύνδεσης με όνομα χρήστη και κωδικό πρόσβασης. Κατά τη διαδικασία επαλήθευσης,...

Crypto

Εισαγωγή Η διαδικασία δημιουργίας κρυπτονομισμάτων και προσθήκης νέων συναλλαγών στο blockchain, πρέπει να γίνεται με τρόπο που εξασφαλίζει ασφάλεια, διαφάνεια και αποκέντρωση. Αυτό επιτυγχάνεται μέσω...

Crypto

Εισαγωγή Με την τεχνολογία του blockchain και τα κρυπτονομίσματα να μπαίνουν όλο και περισσότερο στην καθημερινότητά μας, ακούμε όλο και πιο συχνά την έννοια...