Windows用戶再次成為名為LokiBot的復(fù)雜惡意軟件的攻擊目標(biāo)，這種惡意軟件通過惡意Office文檔傳播。

根據(jù)Fortinet安全研究員Cara Lin的最新報(bào)告，攻擊者正在利用已知漏洞，如CVE-2021-40444和CVE-2022-30190，在微軟Office文檔中嵌入惡意宏。

一旦執(zhí)行，這些宏將LokiBot惡意軟件投放到受害者的系統(tǒng)中，允許攻擊者控制和收集敏感信息。

LokiBot是一個(gè)臭名昭著的木馬，自2015年以來一直活躍，專門從受感染的機(jī)器上竊取敏感信息，主要針對(duì)Windows系統(tǒng)。

FortiGuard實(shí)驗(yàn)室對(duì)已識(shí)別的文件進(jìn)行了深入分析，探索了它們所傳遞的有效載荷，并突出了LokiBot所展示的行為模式。

調(diào)查顯示，惡意文件采用了多種技術(shù)，包括使用外部鏈接和VBA腳本，以啟動(dòng)攻擊鏈。

LokiBot惡意軟件一旦部署，就會(huì)使用規(guī)避技術(shù)來避免檢測(cè)，并執(zhí)行一系列惡意活動(dòng)，從受損系統(tǒng)中收集敏感數(shù)據(jù)。

Viakoo的Viakoo實(shí)驗(yàn)室副總裁約翰·加拉格爾(John Gallagher)在談到這次新的攻擊時(shí)說：“它的嚴(yán)重性體現(xiàn)在三個(gè)方面。這是LokiBot的新包裝，可能不容易被檢測(cè)到，它有效地掩蓋了它的蹤跡，混淆了它的過程，它可能導(dǎo)致重要的個(gè)人和商業(yè)數(shù)據(jù)被泄露?！?/p>

為了防止這種威脅，建議用戶在處理Office文檔或未知文件時(shí)要格外小心，特別是那些包含外部鏈接的文件。

Coalfire副總裁Andrew Barratt評(píng)論道:“幸運(yùn)的是，從解決方案和變通的角度來看，微軟已經(jīng)掌握了這個(gè)問題，所以我們必須提醒每個(gè)人保持他們的端點(diǎn)保護(hù)產(chǎn)品是最新的?！?/p>

這也顯示了電子郵件過濾解決方案的價(jià)值，它可以在附件進(jìn)入某人的收件箱之前主動(dòng)掃描附件。

在Fortinet發(fā)出警告的幾天前，Barracuda Networks發(fā)布了一份報(bào)告，稱全球電子郵件勒索的幕后黑手是一個(gè)相對(duì)較小的詐騙團(tuán)伙，人數(shù)不到100人。