不使用宏的情况 Multi-Stage Word 也可让用户中马
垃圾邮件发布者正在使用一种新技术来感染用户中的恶意软件,虽然此***依赖于用户打开Word文档,但它并不涉及用户必须允许执行宏脚本。
这种新的无宏技术目前正在积极开发之中,Trustwave SpiderLabs的研究人员正在进行恶意软件活动。
该公司表示,骗子正在使用这种多阶段,无宏技术来通过密码窃取器感染用户。目前,有证据表明,只有一个组织正在使用这种新颖的技巧,尽管这肯定会被其他人采用。
新技术的开发链
下面详细介绍实际的开发链,并依赖大量资源,如DOCX,RTF,HTA,VBScript和PowerShell。
victim受害者收到带有DOCX文件附件的垃圾邮件。
⏩受害者下载并打开DOCX文件。
⏩DOCX文件包含嵌入的OLE对象。
⏩OLE对象下载并打开RTF(伪装成DOC)文件。
⏩DOC文件使用CVE-2017-11882 Office公式编辑器漏洞。
⏩利用代码运行MSHTA命令行。
⏩MSHTA命令行下载并运行HTA文件。
⏩HTA文件包含解压缩PowerShell脚本的VBScript。
⏩PowerShell脚本下载并安装密码窃取程序。
⏩恶意软件窃取浏览器,电子邮件和FTP客户端的密码。
⏩恶意软件将数据上传到远程服务器。
Trustwave表示,它看到这种***方式是通过电子邮件发送恶意文件
TNT STATEMENT OF ACCOUNT – {random numbers}...............
Request for Quotation (RFQ) - < {random numbers} >
Telex Transfer Notification
SWIFT COPY FOR BALANCE PAYMENT
如果用户以某种方式破坏这项新技术的开发链,这是保持安全的唯一方法。最简单的方法是让Windows和Office保持最新状态。
微软在2018年1月发布的Patch Tuesday安全更新中包含了一个补丁,该补丁删除了部分公式编辑器的功能以缓解CVE-2017-11882。
详细介绍这一新***的Trustwave报告中提供了国际石油公司。
华明君,提示:尽快打补丁吧!
你可能喜欢
CVE-2017-11882利用大全
更多相关文章
- 磁盘文件系统损坏怎么解决?
- 利用 r2 逆向分析框架分析 Windows Minidumps
- 【exp/imp】将US7ASCII字符集的dmp文件导入到ZHS16GBK字符集的数
- 在MySQL中如何有效的删除一个大表?
- 【存储】裸设备和Oracle
- getExtension 获取文件名后缀
- 常见沙箱绕过技术
- Centos下SVN环境部署记录
- 电商思路用于恶意软件售卖?用服务口碑抢占市场的Raccoon间谍软件