Sophos 首席威脅研究員 Andrew Brandt 表示:「理論上,這種攻擊方法不應該奏效,但它確實做到了。修補程式出現前的攻擊版本是將惡意程式碼封裝在 Microsoft CAB 檔案中,當 Microsoft 的修補程式堵住這個漏洞時,攻擊者又發展了一個概念驗證,將惡意軟體包裹到不同的壓縮檔格式,例如 RAR。惡意分子以前就曾使用 RAR 來傳播惡意程式碼,但這裡的過程複雜多了。這個概念驗證之所以能成功,可能是因為修補的範圍非常狹窄,而且使用者用來開啟 RAR 的 WinRAR 程式容錯性很大,似乎不會偵測壓縮檔是否格式錯誤,例如已經被竄改了。」
感染鏈 Sophos 研究人員發現,攻擊者建立了一個有問題的 RAR 壓縮檔,其中包含一段 PowerShell 指令碼與壓縮檔中的惡意 Word 文件。
攻擊者建立並開始傳送垃圾郵件,附件就是格式錯誤的 RAR 檔。電子郵件會請收件者解壓縮 RAR 檔以讀取 Word 文件。使用者開啟 Word 文件時會觸發一個程序來執行前端指令碼,最終感染 Formbook 惡意軟體。
Brandt 說:「這項研究提醒人們,僅靠修補並無法在所有情況下防範所有漏洞。「制定禁令來防止使用者意外觸發惡意文件有幫助,但人們仍可能被誘騙點擊『啟用內容』按鈕。因此,教育員工並提醒他們對透過電子郵件傳送的文件保持警惕非常重要,尤其是郵件來自不認識的人或公司,以及附件是不尋常或不熟悉的壓縮檔格式時。如有疑問,請務必與寄件者或 IT 人員再次確認。」
上一篇:“2021縱深新未來·首屆大灣區新經濟論壇”在深順利召開
下一篇:深化合作,卓越商企服務低風險策略下的合作拓展模式
