2015年基于宏的恶意软件数量再次飙升

安全
今年年初以来,微软观察到使用宏的恶意软件数量迅速增加。宏病毒在多年前曾经非常流行,之后便销声匿迹。如今这种“古老”的攻击方式结合钓鱼邮件、社会工程学进行传播,大有卷土重来之势。

今年年初以来,微软观察到使用宏的恶意软件数量迅速增加。宏病毒在多年前曾经非常流行,之后便销声匿迹。如今这种“古老”的攻击方式结合钓鱼邮件、社会工程学进行传播,大有卷土重来之势。

2015年基于宏的恶意软件数量再次飙升

数量大幅回升

在2006年左右,大量的恶意软件都通过Word/Excel宏的方式传播到受害者电脑上,恶意软件的执行都依赖于“自动执行宏”选项,当时通过这种方式传播还比较有效。虽然之后“宏病毒”消失于人们的视野,但在今年,包含恶意软件的宏数量再次上升,并且新的恶意软件更加高级,有些还使用社会工程学手段来诱导用户启用宏。

2015年基于宏的恶意软件数量再次飙升

在今年年初,微软恶意软件防护中心(MMPC)发出警报,提示使用基于宏的木马来传播恶意代码恶意感染活动的激增。微软的研究人员发现基于开启宏的恶意软件迅速增加,其中最活跃的恶意代码包括Adnel和Tarbir。此外,去年TrendLabs实验室的专家们发现,网络攻击者使用Windows PowerShell命令并通过恶意宏下载器传播ROVNIX。今年年初,专家们注意到网络罪犯在Microsoft Word中使用恶意宏传播网银木马VAWTRAK。

勒索软件常用

一个实际的例子就是Dridex银行木马和勒索软件TorrentLocker,两者都是通过宏来传播。通常来说,都是以包含感染宏的恶意邮件开始,这些宏会包括一个XML文件,攻击者会利用该XML文件来诱导用户启用宏。

2015年基于宏的恶意软件数量再次飙升

Trustwave Karl Sigler的研究员解释道:

“XML文件是办公文档doc旧的二进制格式,一旦你双击打开它,与Microsoft Word关联的文件也会打开。”

微软恶意软件防护中心对攻击者所采用的手段做了如下评论:

“瞄向邮件用户并包含恶意代码的宏文档会故意激起受害者的好奇心,通常其主题会包括销售发票、联邦税收单、快递通知、简历及捐款确认等,这通常能够轻易诱导受害者阅读邮件并打开附件,而打开附件时通常会要求启用宏,如果用户在不知情的情况下启用了宏,那么基于宏的恶意软件也会运行。”

当用户上钩之后,恶意软件就开始运行并执行操作:下载有效载荷、安装其他软件、远程连接到服务器并安装更多令人厌烦的软件。

安全建议

为了防范基于宏的恶意软件,用户需要确保默认情况下宏被禁用,并时刻注意你点击和授权的文件。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2021-04-01 13:05:55

无文件恶意软件威胁情报攻击

2017-02-23 10:44:53

2021-03-01 15:55:17

Go恶意软件勒索软件

2012-07-16 13:17:02

Android恶意软件恶意软件

2015-10-29 18:15:07

恶意软件OS X恶意软件Mac

2012-05-17 11:58:08

2015-11-02 10:53:26

2021-06-07 14:45:45

Android恶意软件网络安全

2013-05-15 14:19:58

移动恶意软件恶意软件Android

2011-08-09 09:54:41

2022-01-20 08:19:18

恶意软件DDoS网络攻击

2014-11-04 09:40:27

2011-04-01 09:38:34

恶意软件AndroidGoogle Mark

2021-03-01 15:36:29

编程语言Go软件

2021-09-27 10:01:20

勒索软件攻击网络安全

2021-10-12 18:59:05

恶意软件黑客网络攻击

2021-01-12 15:16:30

恶意文件攻击木马

2009-09-08 09:11:15

Android Mar

2015-09-21 09:23:50

2021-01-07 11:50:20

恶意文件木马
点赞
收藏

51CTO技术栈公众号