Zagrażające dokumenty Microsoft Office porzucają złośliwe oprogramowanie LokiBot
W ciągu tygodnia wypełnionego znaczącymi wydarzeniami dla Microsoft, w tym chińskim atakiem APT i łataniem wykorzystanych dni zerowych podczas Patch Tuesday, badacze dokonali alarmującego odkrycia, obserwując wiele przypadków złośliwych dokumentów Microsoft Office, które po wykonaniu uwalniają złośliwe oprogramowanie LokiBot na docelowy system. To złośliwe oprogramowanie poważnie zagraża ofiarom, infiltrując ich systemy, potencjalnie prowadząc do nieautoryzowanego dostępu i kradzieży danych.
Wykorzystując dobrze znane luki w zabezpieczeniach, a mianowicie CVE-2021-40444 (CVSS 7.8) i CVE-2022-30190 (CVSS 7.8), groźne dokumenty Microsoft Office stały się bramą do infiltracji cieszącego się złą sławą złośliwego oprogramowania LokiBot. Mimo że łatki usuwające te luki były dostępne przez ponad rok, osoby atakujące wykorzystywały niezałatane systemy.
Spis treści
Co to jest LokiBot?
LokiBot, znany od 2015 roku trojan kradnący informacje, koncentruje się na platformach Windows, starając się wydobyć cenne dane z zaatakowanych maszyn. Jego stała obecność w krajobrazie zagrożeń podkreśla znaczenie utrzymywania solidnych środków bezpieczeństwa w celu obrony przed ewoluującymi zagrożeniami cybernetycznymi.
LokiBot wykorzystuje kombinację szkodliwych technik do wykonywania swoich szkodliwych działań. Wykorzystuje wiele luk w zabezpieczeniach i wykorzystuje makra języka Visual Basic for Applications (VBA) do inicjowania ataków. Dodatkowo LokiBot zawiera wtryskiwacz Visual Basic, który pomaga w uniknięciu wykrycia i analizy. Wykorzystując ten wtryskiwacz, złośliwe oprogramowanie może obejść określone środki bezpieczeństwa, co czyni go potężnym zagrożeniem dla użytkowników. Zdolność LokiBota do wykorzystania tych zaawansowanych technik podkreśla znaczenie wdrożenia solidnych środków bezpieczeństwa i zachowania czujności wobec ewoluujących cyberzagrożeń.
Błąd po stronie ostrożności
Badacze zdecydowanie zalecają użytkownikom zachowanie ostrożności i ostrożne podejście do dokumentów pakietu Office lub nieznanych plików, zwłaszcza zawierających łącza do zewnętrznych witryn internetowych. Podkreślają, jak ważne jest zachowanie czujności i powstrzymanie się od klikania podejrzanych linków lub otwierania załączników z niezaufanych źródeł. Ponadto utrzymywanie aktualności oprogramowania i systemów operacyjnych za pomocą najnowszych poprawek bezpieczeństwa ma kluczowe znaczenie dla ograniczenia ryzyka wykorzystania złośliwego oprogramowania.
Te znane luki w zabezpieczeniach stanowią poważne wyzwanie, ponieważ wykorzystują klasyczne techniki inżynierii społecznej skierowane do użytkowników końcowych. Atakujący polegają na kuszących załącznikach, mając nadzieję, że otworzą je niczego niepodejrzewający lub nieodpowiednio chronieni użytkownicy. Podkreśla to potrzebę solidnej świadomości i edukacji w zakresie cyberbezpieczeństwa, aby umożliwić użytkownikom rozpoznawanie i unikanie potencjalnych zagrożeń.
Na szczęście firma Microsoft podjęła proaktywne działania w celu rozwiązania problemu i dostarczenia rozwiązań, podkreślając potrzebę zapewnienia przez zespoły ds. bezpieczeństwa aktualności produktów do ochrony punktów końcowych.
Bardzo ważne jest, aby zawsze traktować luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu jako najwyższy priorytet pod względem poziomu zagrożenia. Lepiej dokładnie przeanalizuj wskaźniki naruszenia bezpieczeństwa i przeprowadź wstępne dochodzenie, aby sprawdzić, czy luka w zabezpieczeniach miała na nie wpływ. To proaktywne podejście pozwala organizacjom szybko identyfikować i łagodzić wszelkie potencjalne skutki.
Pojawienie się tego nowego opakowania dla LokiBota budzi poważne obawy ze względu na jego zdolność do unikania wykrycia, ukrywania swoich działań i potencjalnego naruszenia wrażliwych danych. Aby sobie z tym poradzić, organizacje nie powinny po prostu zaprzestać korzystania z pakietu Microsoft Office, ale raczej nadać priorytet działaniom mającym na celu ochronę swoich systemów. Obejmuje to regularne aktualizowanie poprawek i sygnatur chroniących przed złośliwym oprogramowaniem oraz edukowanie użytkowników w zakresie zachowania ostrożności podczas obsługi dokumentów pakietu Office. Podejmując te proaktywne środki, organizacje mogą wzmocnić swoją obronę i zminimalizować ryzyko stania się ofiarą takich szkodliwych działań.
Zagrażające dokumenty Microsoft Office porzucają złośliwe oprogramowanie LokiBot zrzutów ekranu
