Στηριζόμενοι σε μια απλή μέθοδο που έχει αποδειχθεί επιτυχημένη ξανά και ξανά, ένα hacking group έχει αναπτύξει πρόσφατα μια καμπάνια κακόβουλου λογισμικού που χρησιμοποίησε την ανακοίνωση κυκλοφορίας των Windows 11 για να παρασύρει τους παραλήπτες να ενεργοποιήσουν κακόβουλο κώδικα που έχει τοποθετηθεί μέσα σε έγγραφα του Microsoft Word.
Οι ερευνητές ασφαλείας πιστεύουν ότι το group πίσω από την καμπάνια μπορεί να είναι η ομάδα κυβερνοεγκλήματος FIN7, γνωστή και ως Carbanak και Navigator, που ειδικεύεται στην κλοπή δεδομένων καρτών.
Τα θύματα δέχτηκαν έγγραφα Microsoft Word που περιείχαν μακροεντολές οι οποίες αν εκτελεστούν κατεβάζουν ένα JavaScript backdoor. Αυτό με τη σειρά του δίνει στους επιτιθέμενους δυνατότητα να κατεβάσουν περαιτέρω payload στον υπολογιστή του θύματος.
Ερευνητές από την εταιρεία κυβερνοασφάλειας Anomali ανέλυσαν έξι τέτοια έγγραφα και είπαν το payload είναι παραλλαγή του payload που χρησιμοποιείται συνήθως από το FIN7 από το 2018 τουλάχιστον.
Τα ονόματα που χρησιμοποιήθηκαν στην καμπάνια φαίνεται να υποδηλώνουν ότι η δραστηριότητα μπορεί να πραγματοποιήθηκε από τα τέλη Ιουνίου έως τα τέλη Ιουλίου, μια περίοδο αμέσως μετά την εμφάνιση των ειδήσεων για τα Windows 11. Δεν είναι σαφές πώς παραδόθηκαν τα κακόβουλα αρχεία, συνήθως χρησιμοποιείται η μέθοδος του phising.
Το άνοιγμα του εγγράφου δείχνει εικόνες των Windows 11 με κείμενο που έχει σχεδιαστεί για να ξεγελάσει τον παραλήπτη ώστε να ενεργοποιήσει μακροεντολή. Ο ισχυρισμός ότι το έγγραφο δημιουργήθηκε με νεότερο λειτουργικό σύστημα μπορεί να κάνει ορισμένους χρήστες να πιστεύουν ότι υπάρχει πρόβλημα συμβατότητας που εμποδίζει την πρόσβαση στο περιεχόμενο και ότι ακολουθώντας τις οδηγίες εξαλείφεται το πρόβλημα. Εάν ο χρήστης ενεργοποιήσει τις κακόβουλες μακροεντολές VBA τότε εκτελείται ο κακόβουλος κώδικας. Ο κώδικας είναι obfuscated για να εμποδίσει την ανάλυση, σύμφωνα με τους ερευνητές της Anomali επικοινωνεί με έναν C2 server, ενώ πριν την εκτελεσή του ελέγχει αν στον υπολογιστή του θύματος είναι εγκατεστημένη κάποια γλώσσα όπως Ρωσικά, Ουκρανικά, Μολδαβικά, Σορβικά, Σλοβακικά, Σλοβενικά, Εσθονικά, Σέρβικα. Εάν ισχύει αυτό, τότε ο κακόβουλος κώδικας δεν εκτελείται!
Μπορείτε να δείτε όλη την ανάλυση της εταιρείας Anomali εδώ:
