Microsoft: Vi kämpar för Windows skadlig kod sprids via Excel via e-post med dålig makro

En enda aktör är scanning Windows-system sårbara för BlueKeep fel
Ett hot skådespelare dolda bakom Tor-noder genomsökning för Windows-system utsatta för BlueKeep fel.
Läs mer: https://zd.net/2JWjK73

Microsoft är att uppmärksamma en it-relaterad brottslighet kampanj som bygger på Office-funktioner för att angripa en Windows-system.

Office-program fortfarande en favorit verktyg för cyberbrottslingar att utnyttja att kompromissa Windows-Datorer en masse.

Tidigare denna månad Microsoft varnade för att angriparna var bränning spam som utnyttjade ett Kontor fel att installera en trojan. Felet innebar att angriparna inte kräver att Windows-användare att aktivera makron.

Men en ny skadlig kod kampanj som inte utnyttja en viss sårbarhet i Microsoft-programvara tar motsatt strategi, med hjälp av skadlig makro-funktioner i en bifogad Excel-fil till kompromiss helt lappat Windows-Datorer.

Enligt Microsoft Security Intelligence team, kampanjen “sysselsätter en komplicerad infektion kedjan för att ladda ner och köra den beryktade FlawedAmmyy [remote-access trojan] RÅTTA direkt i minnet.”

FlawedAmmyy är kända för att ha använts för att rikta företag i finans-och detaljhandel, enligt säkerhetsföretaget Proofpoint, som uppmanar gruppen bakom det TA505. Den grupp ofta använder Microsoft bilagor och social ingenjörskonst till kompromiss offer’ system.

Attacken börjar med ett e-mail .xls eller bifogad Excel-fil, som Microsoft varnade för att mottagarna inte att öppna.

“När den öppnas .xls-fil kör automatiskt ett makro funktion som körs msiexec.exe som i sin tur hämtar en MSI-arkiv. MSI-arkivet innehåller ett digitalt signerat körbar som är ut och kör, och som dekrypterar och driver en körbar i minnet,” Microsoft anteckningar i en tråd om hotet.

Den teknik för att köra i minnet hjälper malware undvika upptäckt från antivirusprogram som skannar filer på disk.

Exekverbar hämtar sedan och dekrypterar en fil som heter wsus.exe som är utformad för att ha gått ut som den officiella Microsoft Windows Service Update Service (WSUS). Den körbara filen har signerats digitalt på 19 juni och dekrypterar nyttolast i RAM-minnet, för att leverera den FlawedAmmyy nyttolast.

Just denna attack verkar som syftar till koreansk-talande Windows-användare på grund av den bifogade filen, bland annat koreanska tecken.

Microsoft har varit att investera i sin Windows Defender infrastruktur för att förbättra sin egen inbyggd antivirus jämfört med ekosystemet av leverantörer byggt runt att skydda Windows-system från skadlig kod.

Windows-maker hävdar att, “Microsoft Skydd mot Hot försvarar kunder från denna attack.”

Dessutom, Försvarare ATP-maskin-system för lärande “som blockerade alla komponenter i denna attack vid första ögonkastet, inklusive FlawedAmmyy RÅTTA nyttolast”, medan företaget användare av Office 365 ATP kan vara säker på att Microsofts Office 365-säkerhet verktyg som gör att upptäcka spam.

Som påpekas av BleepingComputer, TrendMicro förra veckan detaljerad TA505 aktiviteter riktade Windows-användare i Chile, Mexiko, Kina, Sydkorea och Taiwan. Attackerna skedde främst med hjälp av skadliga makron för Microsoft Office-program och resulterade i att offren kör FlawedAmmyy malware.

Mer om Microsoft och Windows säkerhet

Microsoft varnar för e-post spam kampanj missbrukar Office sårbarhetDell varning: Patch våra Windows-10 St nu för att stoppa angriparna att ta kontrollHomeland Security: Vi har testat Windows BlueKeep attack och det fungerar så patch nuEn enda aktör är scanning Windows-system sårbara för BlueKeep felIntensiv scanning aktivitet upptäcks för BlueKeep RDP felMicrosoft frågor andra varning om lapp BlueKeep som PoC-kod blir offentligÄven NSA är att uppmana Windows-användare att lappa BlueKeep (CVE-2019-0708)Nästan en miljon Windows-system utsatta för BlueKeep (CVE-2019-0708)Hur WannaCry är fortfarande att lansera 3500 lyckade attacker per timme TechRepublic

Relaterade Ämnen:

CXO

Säkerhet-TV

Hantering Av Data

Datacenter