长期以来钓鱼攻击都是黑客们的惯用伎俩,不过有些黑客也会针对不同的目标用户开展不同的钓鱼获得最佳效果。
例如借助办公软件展开攻击通常都是面向企业和商务人士的,而办公软件中的宏功能更是黑客们钟爱的攻击手法。
微软威胁情报中心最新公布的案例就是黑客通过 Excel 文件诱导用户加载宏文件执行恶意代码负载更多恶意软件。
利用办公软件展开攻击绝大多数都是基于宏的,尽管少数是基于软件本身漏洞不过若是禁用宏的话会安全许多的。
当办公软件提示文档受保护时你会怎么做:
被称为TA505的网络犯罪集团主要以零售企业和金融机构为目标,该网络犯罪集团的目的就是获得直接经济收入。
通常情况下TA505会直接群发垃圾邮件和钓鱼邮件诱导企业点击链接或者下载软件,不过最近他们已经更换策略。
微软威胁情报中心拦截到的恶意样本显示,TA505现在正尝试将恶意代码放在宏里,然后诱导用户开启和加载宏。
当用户打开钓鱼文档时会直接显示黑客伪造的文档保护提示,该提示诱导用户必须点击加载宏才可查看文档内容。
如果用户轻信黑客伪造的提示点击加载宏,则包含恶意代码的宏辉被立即执行并联系远程服务器加载恶意软件等。
TA505会在受害者计算机上安装多种恶意软件,例如后门程序、木马下载器、勒索软件、键盘记录器及其他软件。
不幸中招的话会被窃取机密信息:
TA505主要目的就是收集信息进行金融诈骗或者直接窃取钱财,因此不到万不得已的时候他们不会开启勒索软件。
如果能够成功收集的各种机密信息例如银行账户、密码或者财务资料,那么黑客就会尝试将其账户余额进行转账。
尽管这个过程本身比较复杂但只需要有耐心即可,毕竟受害者计算机已经被安装各种记录器总归会泄露各种信息。
如果实在找不到有利用价值的信息TA505就会使用最后的招数,那就是直接开启勒索软件加密文件再进行勒索等。
例行安全提醒时间:
多数针对Microsoft Office 攻击都需要依靠漏洞或者是携带恶意代码的文档并诱导用户打开来加载其他恶意软件。
对于用户来说保持Microsoft Office 更新是最佳解决方案,只要保持更新就可以及时封堵已经被发现的安全漏洞。
此外不要打开任何来历不明的文档,绝大多数情况下非联系人发送的附件或者文档不是广告那就是含有恶意代码。
除电子邮件外诸如QQ 和微信等工具发送来历不明的文档同样需要警惕,最后如果不用宏功能的话最好直接禁用。