Windows用戶再次成為名為L(zhǎng)okiBot的復(fù)雜惡意軟件的攻擊目標(biāo),這種惡意軟件通過(guò)惡意Office文檔傳播玻淑。
根據(jù)Fortinet安全研究員Cara Lin的最新報(bào)告孟抗,攻擊者正在利用已知漏洞,如CVE-2021-40444和CVE-2022-30190啦租,在微軟Office文檔中嵌入惡意宏煮岁。
一旦執(zhí)行讥蔽,這些宏將LokiBot惡意軟件投放到受害者的系統(tǒng)中涣易,允許攻擊者控制和收集敏感信息。
LokiBot是一個(gè)臭名昭著的木馬冶伞,自2015年以來(lái)一直活躍新症,專門(mén)從受感染的機(jī)器上竊取敏感信息,主要針對(duì)Windows系統(tǒng)响禽。
FortiGuard實(shí)驗(yàn)室對(duì)已識(shí)別的文件進(jìn)行了深入分析徒爹,探索了它們所傳遞的有效載荷,并突出了LokiBot所展示的行為模式芋类。
調(diào)查顯示隆嗅,惡意文件采用了多種技術(shù),包括使用外部鏈接和VBA腳本侯繁,以啟動(dòng)攻擊鏈胖喳。
LokiBot惡意軟件一旦部署,就會(huì)使用規(guī)避技術(shù)來(lái)避免檢測(cè)贮竟,并執(zhí)行一系列惡意活動(dòng)丽焊,從受損系統(tǒng)中收集敏感數(shù)據(jù)。
Viakoo的Viakoo實(shí)驗(yàn)室副總裁約翰·加拉格爾(John Gallagher)在談到這次新的攻擊時(shí)說(shuō):“它的嚴(yán)重性體現(xiàn)在三個(gè)方面咕别。這是LokiBot的新包裝技健,可能不容易被檢測(cè)到,它有效地掩蓋了它的蹤跡惰拱,混淆了它的過(guò)程雌贱,它可能導(dǎo)致重要的個(gè)人和商業(yè)數(shù)據(jù)被泄露〕ザ蹋”
為了防止這種威脅帽芽,建議用戶在處理Office文檔或未知文件時(shí)要格外小心,特別是那些包含外部鏈接的文件翔冀。
Coalfire副總裁Andrew Barratt評(píng)論道:“幸運(yùn)的是,從解決方案和變通的角度來(lái)看披泪,微軟已經(jīng)掌握了這個(gè)問(wèn)題纤子,所以我們必須提醒每個(gè)人保持他們的端點(diǎn)保護(hù)產(chǎn)品是最新的】钇保”
這也顯示了電子郵件過(guò)濾解決方案的價(jià)值控硼,它可以在附件進(jìn)入某人的收件箱之前主動(dòng)掃描附件。
在Fortinet發(fā)出警告的幾天前艾少,Barracuda Networks發(fā)布了一份報(bào)告卡乾,稱全球電子郵件勒索的幕后黑手是一個(gè)相對(duì)較小的詐騙團(tuán)伙,人數(shù)不到100人缚够。
