未修补的Microsoft Word漏洞正被用于传播Dridex Banking特洛伊木马

现在，根据安全公司Proofpoint的说法Dridex恶意软件开始利用未修补的Microsoft Word漏洞传播其臭名昭著的Dridex banking特洛伊木马。

Dridex是目前互联网上最危险的银行特洛伊木马之一，其典型行为是通过渗透PC和窃取受害者的网上银行凭证和财务数据来监控受害者进入银行网站的流量。

Dridex actors通常依靠承载宏的Word文件通过垃圾邮件或电子邮件传播恶意软件。

然而，这是研究人员首次发现Dridex运营商使用Microsoft Word中未修补的零日漏洞来传播其银行特洛伊木马。

根据Proofpoint周一晚间发布的一篇博文，最新的Dridex垃圾邮件活动正在向多个组织的数百万收信人发送以零日为武器的Word文档，包括主要位于澳大利亚的银行。

“此活动中的电子邮件使用了附加的Microsoft Word RTF（富文本格式）文档。邮件据称来自“[设备]@[收件人的域]。研究人员说，“[设备]可能是“复印机”、“文档”、“诺雷普利”、“无回复”或“扫描仪”。

在所有情况下，主题行都会读取“扫描数据”，并包含名为“Scan_123456”的附件。“文件”或“扫描”123456。“pdf”，其中“123456”被替换为随机数字……伪造的电子邮件域和通过电子邮件发送数字化版本文档的常见做法使诱惑相当令人信服。”

正如我们在周六报道的，这个零日漏洞非常严重，因为它让黑客有能力绕过微软开发的大多数漏洞缓解措施，而且与过去在野外看到的利用漏洞不同，它不需要受害者启用宏。

此外，考虑到Dridex的危险–；也被称为Bugat和Cridex–；银行特洛伊木马，在微软发布补丁之前，强烈建议人们不要打开任何人的电子邮件附带的Word文档，即使你知道发件人。

微软早就知道这个漏洞了

据McAfee和FireEye的研究人员称，微软从一月份就知道了远程代码漏洞，并可能在今天发布该漏洞的补丁，作为其常规补丁程序的一部分。

然而，独立安全研究人员瑞安·汉森（Ryan Hanson）称，他在7月份发现了这一0天漏洞，以及其他两个漏洞，并于2016年10月向微软报告。

汉森告诉《黑客新闻》：“最初的发现是在7月，随后进行了进一步的研究，并发现了一个受保护的视图绕过漏洞。这两个漏洞和另一个Outlook漏洞已于10月提交给微软。”。

“Office中很可能还有其他与HTA相关的向量，但根据McAfee提供的详细信息，他们发现的漏洞与我披露的功能完全相同。我看到的唯一区别是VBScript负载，因为我的负载只是执行calc.exe。”

如果汉森的说法属实，并且他报告的漏洞与在野外传播Dridex时使用的漏洞相同，那么即使在很长一段时间内知道该关键漏洞后，微软仍让其客户容易受到攻击。

在Microsoft Office中启用“受保护视图”以防止攻击

由于在Office受保护视图中查看恶意文档时，攻击不起作用，因此建议用户启用此功能以查看任何Office文档。

有关利用未修补的Microsoft Word漏洞进行的最新Dridex恶意软件活动的更多技术细节，请访问Proofpoint发布的博客文章。