我们正在通过恶意宏的电子邮件中的Excel恶意攻击Windows恶意软件

Office应用程序仍然是网络犯罪分子利用整个危害Windows PC的最佳工具。本月早些时候，微软警告说，攻击者正在利用Office漏洞安装木马的垃圾邮件。该错误意味着攻击者不需要Windows用户启用宏。但是，未利用Microsoft软件中特定漏洞的新恶意软件活动采用相反的方法，使用Excel附件中的恶意宏功能来破坏完全修补的Windows PC。据微软安全情报团队的说法，该活动“利用一个复杂的感染链直接在内存中下载并运行臭名昭着的FlawedAmmyy [远程访问木马] RAT。”

据安全公司Proofpoint称，FlawedAmmyy已经习惯于以金融和零售业为目标，该公司称其为TA505。该组织经常使用Microsoft附件和社交工程来破坏受害者的系统。

攻击始于电子邮件和.xls或Excel附件，Microsoft正在警告收件人不要打开。

“打开时，.xls文件会自动运行一个运行msiexec.exe的宏函数，后者又会下载MSI存档.MSI存档包含一个经过数字签名的可执行文件，该文件被解压缩并运行，并在内存中解密并运行另一个可执行文件“微软在关于威胁的帖子中指出。

在内存中运行的技术确实有助于恶意软件避免从仅扫描磁盘上的文件的防病毒软件中进行检测。

恶意可执行文件然后下载并解密名为wsus.exe的文件，该文件旨在作为官方Microsoft Windows服务更新服务(WSUS)传递。可执行文件在6月19日进行了数字签名，并在RAM中解密了有效负载，提供了FlawedAmmyy有效负载。

由于附件包括韩语字符，此特定攻击似乎针对讲韩语的Windows用户。

与围绕保护Windows系统免受恶意软件侵害的供应商生态系统相比，微软一直在投资Windows Defender基础架构，以改进自己的内置防病毒软件。

Windows制造商认为，“微软威胁防护可以保护客户免受这次攻击。”

此外，Defender ATP的机器学习系统“一见钟情地阻止了这次攻击的所有组件，包括FlawedAmmyy RAT有效载荷”，而Office 365 ATP的企业用户可以放心，微软的Office 365安全工具确实可以检测到垃圾邮件。

正如BleepingComputer所述，TrendMicro上周详细介绍了针对智利，墨西哥，中国，韩国和台湾Windows用户的TA505活动。这些攻击主要是针对Microsoft Office应用程序使用恶意宏进行的，并导致受害者运行FlawedAmmyy恶意软件。