Windows 11 Alpha témájú támadások
Az Anomali kutatói egy olyan támadási formát azonosítottak, mely már a Windows új operációs rendszeréhez kötődik: a támadók oly módon használják ki az új operációs rendszer iránti érdeklődést, hogy egy magát Windows 11 Alphában készült dokumentumnak álcázott fájlban rejtettek el hátsó ajtót. A kutatók által a FIN7 APT-hez köthető csoport egy MS Wordben készült dokumentumban elhelyezett makrókkal érik el, hogy a felhasználó letöltse és futtassa a számára előkésztett káros kódokat, aminek segítségével később a támadók akár az áldozat számítógépe feletti iránytást is átverhetik.
A dokumentumba beágyazott képek segítségével és a felhasználók hiszékenységének kihasználásával elérik, hogy a fájlt futtatni kívánó felhasználó azt higgye, hogy kompatibilitási problémák akadtak, aminek elhárításához a beágyazott makrók futtatása szükséges. Az engedély megadását követően a dokumentumhoz csatolt VBA makrók lefutnak, így átvéve az áldozat számítógépe feletti irányítást. A kód érdekessége, hogy ha a nyelvi beállítások orosz, ukrán, moldovai, szerb, szlovák, szlovén, észt, szerb nyelven vannak, akkor a káros kód nem fut le, ami tovább erősíti a FIN7 csoporthoz való kötődés gyanúját. Az alkalmazott JavaScript kód erősen obfuszkált, nehezen visszafejthető, de a kutatók már találtak egy hátsó ajtó megnyitását elősegítő kódrészletet benne.
Részletek, köztük kihasználási koncepciók és részletes leírások az Anomali oldalán.