微軟 Word 宏惡意軟體可以同時感染 Mac 和 Windows

FortiGuard 實驗室在 3月16日發現了一種新形式的微軟 Word 宏 惡意軟體，這種軟體可以同時感染 macOS 和 Windows 用戶，根據操作系統的不同，惡意軟體可以修改攻擊方法。這種 宏 惡意軟體隱藏在一份 Word 文檔中，包含使用 VBA 代碼，可以在文件打開時自動運行。如果用戶禁用了微軟 Word 應用中的 宏 功能，或者只是在線預覽，文件中將包含一張圖片，嘗試讓用戶下載文檔並開啟宏功能。

執行之後，宏會讀取並解碼存儲在文件「評論」屬性中的基本64位編碼數據。 這段代碼是一個 python 腳本，它試圖檢測文件打開時的操作系統，並運行兩個不同的功能，並且會根據運行系統是 macOS 或是 Windows 而選擇功能。

研究人員 Xiaopeng Xhang 和 Chris Navarrete 提到這段 VBA 代碼是 Metasploit 框架的修改版。Metasploit 是一款開源漏洞開發框架，可以用來創建惡意軟體或者其他攻擊系統的工具。

如果惡意軟體檢測到運行的是 macOS 系統，另外一個 python 腳本就會開始運行，並解壓 64位編碼數據中的代碼，並從特定的 URL 下載和運行文件。下載的 meterpreter 文件又包含另外一個 Python 腳本，也是通過修改 Metasploit框架得到的，這個腳本會動態執行伺服器端發出的命令。如果檢測到系統是 Windows，腳本就會開始另外一種攻擊。

無論哪種方式，惡意軟體都不會直接損壞和泄露數據，被感染的系統會等待來自伺服器的指示。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！