这种狡猾的 Excel 网络钓鱼活动正在传播危险的无文件恶意软件
Excel 用户需要警惕,因为新发现的网络钓鱼活动针对的是 Microsoft 的电子表格应用程序。
该活动传播危险远程访问木马的新无文件版本,并通过 Microsoft 365(以前称为 Microsoft Office)漏洞进行传播,目前正在积极利用。
黑客瞄准 Excel 传播危险恶意软件
Fortinent 的 Fortiguard 实验室始终站在第一线,发现了针对 Excel 用户的网络钓鱼活动。
该攻击使用电子邮件网络钓鱼诱饵,伪装成附有恶意 Microsoft Excel 电子表格的运输采购订单。下载并打开电子表格后,它就会利用远程代码执行漏洞 (CVE-2017-0199) 下载 HTML 应用程序。
下载后,HTML 应用程序就会执行并尝试下载另一个文件 - 实际的 Remcos 恶意软件。现在,Remcos 是一种相对知名的远程访问特洛伊木马,它可以让攻击者直接进入受感染的计算机。它是许多危险的恶意软件类型之一,可以在地下黑客论坛上以简洁的软件包形式购买。
然而,这一次,研究员张晓鹏发现了一种无文件的 Remcos RAT 变种,它可以在受感染系统的内存中运行,使其无法被反恶意软件工具检测到。它还添加了一个特定的自动运行系统注册表,以“在重新启动时保持持久性并保持对受害者设备的控制”——这是持久性恶意软件的另一个例子。
Remcos RAT 操作员可以使用键盘记录器和屏幕录制工具来捕获私人信息、音频和其他数据。然后,被盗数据被加密并发送回运营商,以便可以利用这些数据。
更新 Microsoft 365 和您的计算机以保持安全
遗憾的是,该研究并未指出受此漏洞影响的 Microsoft Excel 的具体版本。虽然 CVE-2017-0199 说明在其“已知受影响的软件配置”中指出了旧版本的 Excel 和 Office,但自发现此网络钓鱼活动以来,该部分尚未更新。
因此,如有疑问,请更新 Microsoft 365 和操作系统,并在可能的情况下升级到最新的 Microsoft 365 版本,以获得最大的安全性。