研究人员发现有后门程序通过宏功能来感染用户设备
趋势科技的研究人员日前发现有攻击者利用宏功能加载恶意代码,然后劫持受害者桌面的应用程序快捷方式。
当然劫持快捷方式只是攻击者感染用户设备的过渡手段,当用户点击快捷方式后则会自动下载运行后门程序。
最初用户打开这个包含宏的文档时会提示用户执行宏启用备份功能,实际上这个操作就是为了劫持快捷方式。
执行后诸如谷歌浏览器以及火狐浏览器等常用软件的快捷方式会被替换为其他命令以便连接攻击者的服务器。
最终用户如果点击这些已经被篡改的快捷方式就会感染后门程序,这个后门程序主要用于窃取受害者的资料。
同时有研究人员发现如果用户点击被篡改的快捷方式执行后,恶意代码会立即恢复快捷方式原本指向的路径。
对于用户来说就会发现初次点击快捷方式无法打开对应的程序,然后再次点击快捷方式后则会正确打开程序。
因此用户很难发现自己的电脑已经被感染恶意程序,最终后门程序连接攻击者服务器下载多个其他恶意组件。
趋势科技的研究人员称目前这款后门程序应该还在早期测试,因此除窃取资料外还不会执行其他的恶意操作。
但不排除未来攻击者继续丰富这款后门程序的功能,例如加载更多恶意组件用于监视用户甚至远程操作电脑。