Η Anomali Threat Research, μια εταιρεία ερευνών ασφαλείας, εξέδωσε προειδοποίηση για ένα κακόβουλο έγγραφο του Microsoft Word (maldoc), έξι από τα οποία έχουν ανακαλυφθεί. ως έγγραφο “που έγινε στα Windows 11 Alpha.” Το όνομα του αρχείου είναι “Users-Progress-072021-1.doc”.
Οι περισσότεροι άνθρωποι εξοικειωμένοι με τα Windows 11 και τις παραλλαγές τους πιθανόν να γνωρίζουν ότι κάτι τέτοιο δεν υπήρχε ποτέ. Ωστόσο, οι άνθρωποι έξω από τον βρόχο μπορεί να πέσουν σε αυτό και να αποφασίσουν να εκτελέσουν το αρχείο, καθώς μπορεί να έχουν ακούσει όλη τη φασαρία για το λειτουργικό σύστημα Windows επόμενης γενιάς.
Το maldoc χρησιμοποιεί μακροεντολές VBA (Visual Basic for Application) για να μειώσει το ωφέλιμο φορτίο JavaScript μετά την επιτυχή εκμετάλλευση. Η μακροεντολή εκτελείται όταν ο χρήστης κάνει κλικ στο “Ενεργοποίηση επεξεργασίας” και “Ενεργοποίηση περιεχομένου”, όπως αναφέρεται στο εξώφυλλο του εγγράφου.
Υπάρχουν πολλά ανεπιθύμητα δεδομένα που καθιστούν δύσκολη την ανάλυση για τους ερευνητές και τους κυνηγούς του εγκλήματος στον κυβερνοχώρο, αλλά ο καθαρισμός πολλών αποκαλύπτει πώς οι φορείς απειλής επιθυμούν να μολύνουν ένα σύστημα με αυτό το έγγραφο.
Για παράδειγμα, υπάρχουν αρκετοί έλεγχοι που πραγματοποιεί το maldoc, όπως:
- γλώσσας
- έλεγχος για VM
- χωρητικότητας μνήμης
- και ένας τομέας που ονομάζεται CLEARMIND
Το CLEARMIND είναι προφανώς ο τομέας ενός παρόχου υπηρεσιών Point-of-Sale (POS) για τον τομέα λιανικής και φιλοξενίας. Ο Anomali πιστεύει ότι αυτό το αρχείο έχει δημιουργηθεί από την ομάδα FIN7, η οποία φημίζεται για την επίθεση τέτοιων στόχων για να κλέψει δεδομένα μεγάλης κλίμακας.