close
摘要:FortiGuard 實驗室在 3月16日發現瞭一種新形式的微軟 Word 宏 惡意軟件,這種軟件可以同時感染 macOS 和 Windows
用戶,根據操作系統的不同,惡意軟件可以修改攻擊方法。這種 宏 惡意軟件隱藏在一份 Word 文檔中,包含使用 VBA
代碼,可以在文件打開時自動運行。如果用貓飼料幼犬飼料推薦戶禁用瞭微軟 Word 應用中的 宏
功能,或者隻是在線預覽,文件中將包含一張圖片,嘗試讓用戶下載文檔並開啟宏功能。
執行之臘腸狗飼料後,宏會讀取並解碼存儲在文件“評論”屬性中的基本64位編碼數據。 這段代碼是一個 python 腳本,它試圖檢測文件打開時的操作系統,並運行兩個不同的功能,並且會根據運行系統是 macOS 或是 Windows 而選擇功能。
研究人員Xiaopeng Xhang 和 Chris Navarrete 提到這段 VBA 代碼是 Metasploit 框架的修改版。Metasploit 是一款開源漏洞開發框架,可以用來創建惡意軟件或者其他攻擊系統的工具。
如果惡意軟件檢測到運行的是 macOS 系統,另外一個 python 腳本就會開始運行,並解壓 64位編碼數據中的代碼,並從特定的 URL 下載和運行文件。下載的 meterpreter 文件又包含另外一個 Python 腳本,也是通過修改 Metasploit框架得到的,這個腳本會動態執行服務器端發出的命令。如果檢測到系統是 Windows,腳本就會開始另外一種攻擊。
無論哪種方式,惡意軟件都不會直接損壞和泄露數據,被感染的系統會等待來自服務器的指示。
20709F066D759DDC
文章標籤
全站熱搜
留言列表
