安全研究公司 Anomali Threat Research 发布了关于恶意 Microsoft Word 文档 (maldoc) 的警告,其中六个已被发现,该文档伪装成“在 Windows 11 Alpha 上制作”的文档。文件名为“ Users-Progress-072021-1.doc ”。
大多数熟悉Windows 11 版本及其变体的人可能都知道这种东西从来不存在。但是,圈外的人可能会因此而决定运行该文件,因为他们可能已经听到了有关下一代 Windows 操作系统的所有骚动。
Maldoc 使用 VBA(Visual Basic for Application)宏在成功利用后丢弃 JavaScript 负载。当用户按照文档封面上的指示单击“启用编辑”和“启用内容”时,将执行宏。
存在大量垃圾数据,使研究人员和网络犯罪猎手难以进行分析,但清理其中的大部分数据揭示了威胁行为者希望如何使用此文档感染系统。
例如,maldoc 会执行多项检查,例如:
- 语
- 检查虚拟机
- 内存容量检查
- 和一个名为 CLEARMIND 的域
CLEARMIND 显然是零售和酒店业的销售点 (POS) 服务提供商的领域。Anomali 认为该文件是由 FIN7 组织创建的,该组织以打击此类目标以窃取大规模数据而闻名。
