恶意RTF持续要求用户启用宏

  • 时间:
  • 浏览:46
  • 来源:快三分分彩
恶意RTF持续要求用户启用宏 Zscaler安全研究人员发现,恶意RTF(富文本格式)文档一直在显示警告,要求用户启用宏。

作为这一独特感染链的一部分,恶意文件迫使受害者执行一个旨在下载QuasarRAT和NetWiredRC有效载荷的嵌入式VBA宏。

在分析攻击时,安全研究人员发现该行为者在恶意RTF文档中包含了启用宏的Excel工作表,诱骗用户进入允许执行有效载荷。

RTF文档具有.doc扩展名,并使用Microsoft Word打开。发生这种情况时,会显示一个宏警告弹出窗口,提示用户启用或禁用该宏。

然而,苹果即使目标用户单击“禁用宏”按钮,ous RTF文档也会重复显示警告弹出窗口。通过持续显示警报,恶意行为者增加了用户放弃并允许宏运行的机会。

分析的恶意RTF包含10个嵌入的Excel电子表格,这意味着警告显示10次。用户无法阻止这些弹出窗口,除非他们点击所有弹出窗口或强行退出Word,Zscaler笔记。

攻击依赖于对嵌入的Excel工作表对象(OLE对象)使用“\ objupdate”控件。当在Microsoft Word中加载RTF文档时,此函数将触发嵌入式Excel工作表中的宏代码,从而导致出现多个宏警告弹出窗口。

观察到同样的“\ objupdate”控制在利用微软去年4月修补的CVE-2017-0199漏洞的攻击中被滥用。但是,新攻击不会利用此漏洞或其他Office安全漏洞。

此活动背后的演员使用了恶意宏的两种变体。该代码执行PowerShell命令以使用Schtasks和cmd.exe下载中间有效负载。通过执行注册表修改,恶意软件还将永久启用Word,PowerPoint和Excel的宏。

宏下载恶意VBS文件,该文件终止所有正在运行的Word和Excel实例,使用HTTPS协议下载最终有效负载并执行有效负载。

接下来,它启用Office的宏并禁用受保护的查看套件中的设置,创建计划任务以在200分钟后运行下载的有效负载,删除计划任务,并将其他有效负载下载到同一位置。

Zscaler观察到攻击丢弃了两个远程访问特洛伊木马(RAT),即NetwiredRC和QuasarRAT。 NetwiredRC可以查找文件,启动远程shell,记录击键,捕获屏幕,窃取密码等。 QuasarRAT是免费和开源的,被认为是xRAT的演变。它具有远程网络摄像头,远程外壳和键盘记录等功能。

相关:加沙Cyber​​gang使用QuasarRAT向目标政府

相关:微软补丁办公室,IE攻击中利用的漏洞

猜你喜欢

恶意软件攻击后,FedEx利润达到3亿美元

恶意软件攻击后,FedEx利润达到3亿美元6月份遭遇国际快递服务公司TNTExpress的恶意软件攻击对联邦快递在最近一个季度的利润产生了大约3亿美元的负面影响。TNT快递,联

2019-01-26

恶意软件崛起

恶意软件崛起恶意广告攻击继续上升。品牌和消费者受到威胁。热门网站,博客和广告网络正迅速成为网络犯罪分子,身份窃贼和黑客窃取消费者信息和分发恶意内容的首选方式。今天最常见的攻击是

2019-01-26

恶意软件和蚊子有什么共同之处?比你想象的还要多。

恶意软件和蚊子有什么共同之处?比你想象的还要多。像蚊子一样,恶意软件无处不在,并且是一个强大的对手......恶意软件似乎无处不在,战斗难度极大。它可以采取多种形式,并且越来越

2019-01-26

恶意软件利用幽灵,崩溃的缺陷涌现

恶意软件利用幽灵,崩溃的缺陷涌现研究人员发现了130多个恶意软件样本,旨在利用最近披露的Spectre和MeltdownCPU漏洞。虽然大多数样本似乎处于测试阶段,但我们很快就

2019-01-26

恶意软件创建者承认构建和销售LuminosityLink RAT

恶意软件创建者承认构建和销售LuminosityLinkRAT一名肯塔基州男子在美国法院承认开发和分发名为LuminosityLink的远程访问木马。21岁的肯塔基州斯坦福大学

2019-01-26