可同時攻擊 Windows 及 macOS 系統
網路安全公司 FortiGuard Labs 在近日監控到網上出現一個 Word 文件檔的惡意攻擊,該 Word 檔利用宏功能的漏洞通過執行惡意 VBA 代碼傳播惡意軟件,並會同時威脅 Apple Mac OS X 及 Microsoft Windows 系統,提醒用家們注意小心提防。
FortiGuard Labs 指出,是次發現的惡意 Word 文件檔利用了宏功能的漏洞,當 Apple Mac OS X 及 Microsoft Windows 系統用家將該 Word 檔打開,它會顯示通知受害者啟用宏安全選項,啟用後就允許執行惡意的 VBA 代碼,有可能下載各種惡意程序,這個惡意攻擊更會針對不同的 Windows 及 macOS 系統,嘗試不同的路徑確保最終能成功入侵系統。
要求受害者啟用宏安全選項,並於 Word 文件的 “ Comments ” 讀取數據
下載的文件 ( HA1QE ) 和原始文件之間的差異
下載的 64 位 DLL 文件與其服務器的通信
當受害者一旦啟用宏命令執行 python 程式,就會在不知情的情況下下載 “hxxps://sushi.vvlxpress.com:443/HA1QE” Python script 文件並執行,會略為修改 Python meterpreter 原文件,屬於 Metasploit 框架的一部份,該程式執行後會嘗試連接目標主機 “sushi.vvlxpress.com” 的 Port 443 ,不過在 FortiGuard 的測試中服務器並未做出響應。
Microsoft Office 生產力辦公套件的宏功能經常被網絡黑客用於注入及感染系統,至於新一波的攻擊亦採用基於 VBA ( Visual basic for Applications ) 代碼部署惡意程序的入侵方式。 FortiGuard Labs 表示正繼續測試及分析這次的惡意攻擊,並嘗試從中收集更多詳細信息。
惡意軟件會根據 OS 類型進行不同的攻擊