Windows用户再次成为名为LokiBot的复杂恶意软件的攻击目标,这种恶意软件通过恶意Office文档传播。
根据Fortinet安全研究员Cara Lin的最新报告,攻击者正在利用已知漏洞,如CVE-2021-40444和CVE-2022-30190,在微软Office文档中嵌入恶意宏。
一旦执行,这些宏将LokiBot恶意软件投放到受害者的系统中,允许攻击者控制和收集敏感信息。
LokiBot是一个臭名昭著的木马,自2015年以来一直活跃,专门从受感染的机器上窃取敏感信息,主要针对Windows系统。
FortiGuard实验室对已识别的文件进行了深入分析,探索了它们所传递的有效载荷,并突出了LokiBot所展示的行为模式。
调查显示,恶意文件采用了多种技术,包括使用外部链接和VBA脚本,以启动攻击链。
LokiBot恶意软件一旦部署,就会使用规避技术来避免检测,并执行一系列恶意活动,从受损系统中收集敏感数据。
Viakoo的Viakoo实验室副总裁约翰·加拉格尔(John Gallagher)在谈到这次新的攻击时说:“它的严重性体现在三个方面。这是LokiBot的新包装,可能不容易被检测到,它有效地掩盖了它的踪迹,混淆了它的过程,它可能导致重要的个人和商业数据被泄露。”
为了防止这种威胁,建议用户在处理Office文档或未知文件时要格外小心,特别是那些包含外部链接的文件。
Coalfire副总裁Andrew Barratt评论道:“幸运的是,从解决方案和变通的角度来看,微软已经掌握了这个问题,所以我们必须提醒每个人保持他们的端点保护产品是最新的。”
这也显示了电子邮件过滤解决方案的价值,它可以在附件进入某人的收件箱之前主动扫描附件。
在Fortinet发出警告的几天前,Barracuda Networks发布了一份报告,称全球电子邮件勒索的幕后黑手是一个相对较小的诈骗团伙,人数不到100人。
