黑客使用新技巧禁用恶意Office文件中的宏安全警告

网络钓鱼活动通常会分发武器化的Microsoft Office文档，以提示受害者启用宏以直接触发感染链，但新发现表明，攻击者在执行宏代码感染受害者的计算机之前，正在使用非恶意文档禁用安全警告。

在另一个恶意软件作者继续改进技术以逃避检测的例子中，McAfee实验室的研究人员偶然发现了一种新策略，“下载并执行恶意DLL（ZLoader），而在最初的垃圾邮件附件宏中不存在任何恶意代码。”

这家网络安全公司指出，使用这种机制传播的ZLoader感染主要在美国、加拿大、西班牙、日本和马来西亚报道。恶意软件—；臭名昭著的宙斯银行特洛伊木马的后代—；众所周知，使用激进的宏办公室文档作为初始攻击向量，窃取凭据和个人可识别的信息，从目标金融机构的用户。

在调查这些入侵行为时，研究人员发现，感染链始于一封包含Microsoft Word文档附件的钓鱼电子邮件，打开后，该附件从远程服务器下载了一个受密码保护的Microsoft Excel文件。然而，值得注意的是，需要在Word文档中启用宏来触发下载本身。

研究人员说：“下载XLS文件后，VBA这个词从XLS中读取单元格内容，并为同一个XLS文件创建一个新的宏，并将单元格内容作为函数写入XLS VBA宏。”。一旦宏被写入并准备就绪，Word文档将注册表中的策略设置为“禁用Excel宏警告”，并从Excel文件调用恶意宏功能。Excel文件现在下载ZLoader负载。然后使用rundll32.exe执行ZLoader负载

考虑到宏带来的“重大安全风险”，该功能通常在默认情况下被禁用，但该对策产生了一个不幸的副作用，即威胁参与者精心设计令人信服的社会工程诱饵，诱骗受害者启用它们。通过关闭向用户提供的安全警告，攻击是值得注意的，因为它采取了一些步骤来阻止检测并保持在雷达之下。

研究人员说：“恶意文件一直是大多数恶意软件家族的一个入口点，这些攻击一直在发展其感染技术和混淆，不仅限于直接从VBA下载有效负载，还动态创建代理下载有效负载。”。“在感染链中使用此类代理不仅限于Word或Excel，而且进一步的威胁可能会使用其他陆上生活工具下载其有效载荷。”