Office應(yīng)用程序仍然是網(wǎng)絡(luò)犯罪分子利用整個(gè)危害Windows PC的最佳工具。本月早些時(shí)候，微軟警告說(shuō)，攻擊者正在利用Office漏洞安裝木馬的垃圾郵件。該錯(cuò)誤意味著攻擊者不需要Windows用戶啟用宏。但是，未利用Microsoft軟件中特定漏洞的新惡意軟件活動(dòng)采用相反的方法，使用Excel附件中的惡意宏功能來(lái)破壞完全修補(bǔ)的Windows PC。據(jù)微軟安全情報(bào)團(tuán)隊(duì)的說(shuō)法，該活動(dòng)“利用一個(gè)復(fù)雜的感染鏈直接在內(nèi)存中下載并運(yùn)行臭名昭著的FlawedAmmyy [遠(yuǎn)程訪問(wèn)木馬] RAT。”

據(jù)安全公司Proofpoint稱，F(xiàn)lawedAmmyy已經(jīng)習(xí)慣于以金融和零售業(yè)為目標(biāo)，該公司稱其為TA505。該組織經(jīng)常使用Microsoft附件和社交工程來(lái)破壞受害者的系統(tǒng)。

攻擊始于電子郵件和.xls或Excel附件，Microsoft正在警告收件人不要打開。

“打開時(shí)，.xls文件會(huì)自動(dòng)運(yùn)行一個(gè)運(yùn)行msiexec.exe的宏函數(shù)，后者又會(huì)下載MSI存檔.MSI存檔包含一個(gè)經(jīng)過(guò)數(shù)字簽名的可執(zhí)行文件，該文件被解壓縮并運(yùn)行，并在內(nèi)存中解密并運(yùn)行另一個(gè)可執(zhí)行文件“微軟在關(guān)于威脅的帖子中指出。

在內(nèi)存中運(yùn)行的技術(shù)確實(shí)有助于惡意軟件避免從僅掃描磁盤上的文件的防病毒軟件中進(jìn)行檢測(cè)。

惡意可執(zhí)行文件然后下載并解密名為wsus.exe的文件，該文件旨在作為官方Microsoft Windows服務(wù)更新服務(wù)(WSUS)傳遞。可執(zhí)行文件在6月19日進(jìn)行了數(shù)字簽名，并在RAM中解密了有效負(fù)載，提供了FlawedAmmyy有效負(fù)載。

由于附件包括韓語(yǔ)字符，此特定攻擊似乎針對(duì)講韓語(yǔ)的Windows用戶。

與圍繞保護(hù)Windows系統(tǒng)免受惡意軟件侵害的供應(yīng)商生態(tài)系統(tǒng)相比，微軟一直在投資Windows Defender基礎(chǔ)架構(gòu)，以改進(jìn)自己的內(nèi)置防病毒軟件。

Windows制造商認(rèn)為，“微軟威脅防護(hù)可以保護(hù)客戶免受這次攻擊。”

此外，Defender ATP的機(jī)器學(xué)習(xí)系統(tǒng)“一見(jiàn)鐘情地阻止了這次攻擊的所有組件，包括FlawedAmmyy RAT有效載荷”，而Office 365 ATP的企業(yè)用戶可以放心，微軟的Office 365安全工具確實(shí)可以檢測(cè)到垃圾郵件。

正如BleepingComputer所述，TrendMicro上周詳細(xì)介紹了針對(duì)智利，墨西哥，中國(guó)，韓國(guó)和臺(tái)灣Windows用戶的TA505活動(dòng)。這些攻擊主要是針對(duì)Microsoft Office應(yīng)用程序使用惡意宏進(jìn)行的，并導(dǎo)致受害者運(yùn)行FlawedAmmyy惡意軟件。