Ohrozujúce dokumenty balíka Microsoft Office Zahoďte malvér LokiBot

V týždni naplnenom významnými udalosťami pre Microsoft, vrátane čínskeho útoku APT a opravovania zneužitých zero-days počas Patch Tuesday, výskumníci urobili alarmujúci objav, keď pozorovali viaceré prípady škodlivých dokumentov Microsoft Office, ktoré po spustení uvoľnia škodlivý softvér LokiBot . na cieľový systém. Tento malvér vážne ohrozuje obete infiltráciou do ich systémov, čo môže viesť k neoprávnenému prístupu a krádeži údajov.

Využitím známych zraniteľností, konkrétne CVE-2021-40444 (CVSS 7.8) a CVE-2022-30190 (CVSS 7.8), sa hrozivé dokumenty balíka Microsoft Office stali vstupnou bránou pre infiltráciu notoricky známeho malvéru LokiBot. Napriek tomu, že záplaty sú k dispozícii pre tieto zraniteľnosti viac ako rok, útočníci využili neopravené systémy.

Čo je LokiBot?

LokiBot, dlhoročný trójsky kôň kradnúci informácie známy od roku 2015, sa zameriava na platformy Windows a snaží sa získať cenné dáta z napadnutých počítačov. Jeho pretrvávajúca prítomnosť v prostredí hrozieb podčiarkuje dôležitosť udržiavania silných bezpečnostných opatrení na obranu proti vyvíjajúcim sa kybernetickým hrozbám.

LokiBot využíva kombináciu škodlivých techník na vykonávanie svojich škodlivých aktivít. Využíva viacero zraniteľností a na iniciovanie útokov využíva makrá Visual Basic for Applications (VBA). LokiBot navyše obsahuje injektor Visual Basic, ktorý pomáha vyhnúť sa detekcii a analýze. Využitím tohto injektora môže malvér obísť špecifické bezpečnostné opatrenia, čo z neho robí hrozivú hrozbu pre používateľov. Schopnosť LokiBot využívať tieto pokročilé techniky zdôrazňuje dôležitosť implementácie robustných bezpečnostných opatrení a ostražitosti voči vyvíjajúcim sa kybernetickým hrozbám.

Chyba na strane opatrnosti

Výskumníci dôrazne odporúčajú používateľom, aby boli opatrní a prijali opatrný prístup pri práci s dokumentmi balíka Office alebo neznámymi súbormi, najmä tými, ktoré obsahujú odkazy na externé webové stránky. Zdôrazňujú, že je dôležité zostať ostražití a zdržať sa klikania na podozrivé odkazy alebo otvárania príloh z nedôveryhodných zdrojov. Udržiavanie softvéru a operačných systémov v aktuálnom stave pomocou najnovších bezpečnostných záplat je navyše kľúčové pre zmiernenie rizika zneužitia škodlivého softvéru.

Tieto známe zraniteľnosti predstavujú značnú výzvu, pretože využívajú klasické techniky sociálneho inžinierstva, ktoré sa zameriavajú na koncových používateľov. Útočníci sa spoliehajú na lákavé prílohy a dúfajú, že ich otvoria nič netušiaci alebo nedostatočne chránení používatelia. To zdôrazňuje potrebu rozsiahleho povedomia a vzdelávania v oblasti kybernetickej bezpečnosti, aby používatelia mohli rozpoznať potenciálne hrozby a vyhnúť sa im.

Našťastie spoločnosť Microsoft prijala proaktívne opatrenia na riešenie a poskytovanie riešení tohto problému, pričom zdôraznila, že bezpečnostné tímy musia zabezpečiť, aby ich produkty na ochranu koncových bodov boli aktuálne.

Je dôležité, aby ste vždy považovali zraniteľné miesta spustenia kódu za najvyššiu prioritu, pokiaľ ide o úroveň hrozby. Radšej by ste mali dôkladne preskúmať indikátory kompromisu a vykonať počiatočné vyšetrovanie, aby ste si overili, či ich zraniteľnosť ovplyvnila. Tento proaktívny prístup umožňuje organizáciám okamžite identifikovať a zmierniť akýkoľvek potenciálny vplyv.

Vznik tohto nového balenia pre LokiBot vyvoláva vážne obavy z dôvodu jeho schopnosti vyhnúť sa detekcii, utajiť svoje aktivity a potenciálne ohroziť citlivé údaje. Aby sa s tým organizácie vyrovnali, nemali by jednoducho prestať používať Microsoft Office, ale mali by radšej uprednostniť opatrenia na ochranu svojich systémov. To zahŕňa pravidelnú aktualizáciu opráv a antimalvérových podpisov a poučenie používateľov o opatrnosti pri manipulácii s dokumentmi balíka Office. Prijatím týchto proaktívnych opatrení môžu organizácie posilniť svoju obranu a minimalizovať riziko, že sa stanú obeťou takýchto škodlivých aktivít.

Ohrozujúce dokumenty balíka Microsoft Office Zahoďte malvér LokiBot snímok obrazovky