FortiGuard 实验室在 3月16日发现了一种新形式的微软 Word 宏恶意软件,这种软件可以同时感染 macOS 和 Windows 用户,根据操作系统的不同,恶意软件可以修改攻击方法。这种 宏 恶意软件隐藏在一份 Word 文档中,包含使用 VBA 代码,可以在文件打开时自动运行。如果用户禁用了微软 Word 应用中的 宏 功能,或者只是在线预览,文件中将包含一张图片,尝试让用户下载文档并开启宏功能。
执行之后,宏会读取并解码存储在文件“评论”属性中的基本64位编码数据。 这段代码是一个 python 脚本,它试图检测文件打开时的操作系统,并运行两个不同的功能,并且会根据运行系统是 macOS 或是 Windows 而选择功能。
研究人员 Xiaopeng Xhang 和 Chris Navarrete 提到这段 VBA 代码是 Metasploit 框架的修改版。Metasploit 是一款开源漏洞开发框架,可以用来创建恶意软件或者其他攻击系统的工具。
如果恶意软件检测到运行的是 macOS 系统,另外一个 python 脚本就会开始运行,并解压 64位编码数据中的代码,并从特定的 URL 下载和运行文件。下载的 meterpreter 文件又包含另外一个 Python 脚本,也是通过修改 Metasploit框架得到的,这个脚本会动态执行服务器端发出的命令。如果检测到系统是 Windows,脚本就会开始另外一种攻击。
无论哪种方式,恶意软件都不会直接损坏和泄露数据,被感染的系统会等待来自服务器的指示。
稿源:MacX
