Windows用戶(hù)再次成為被稱(chēng)為L(zhǎng)okiBot惡意軟件的攻擊目標(biāo)，該惡意軟件通過(guò)Office文檔進(jìn)行傳播。

根據(jù)Fortinet安全研究員Cara Lin的最新報(bào)告，攻擊者利用已知漏洞，如CVE-2021-40444和CVE-2022-30190，在微軟Office文檔中嵌入惡意宏。

這些宏一旦被執(zhí)行，就會(huì)將LokiBot惡意軟件投放到受害者的系統(tǒng)中，允許攻擊者控制和收集敏感信息。

LokiBot是一個(gè)臭名昭著的木馬程序，自2015年以來(lái)一直活躍，專(zhuān)門(mén)從受感染的機(jī)器中竊取敏感信息，主要針對(duì)Windows系統(tǒng)。

FortiGuard實(shí)驗(yàn)室對(duì)已識(shí)別的文件進(jìn)行了深入分析，并探索它們傳輸?shù)挠行лd荷以及行為模式。

根據(jù)調(diào)查顯示，惡意文檔采用了多種技術(shù)，包括使用外部鏈接和VBA腳本來(lái)啟動(dòng)攻擊鏈。

LokiBot惡意軟件一旦部署，就會(huì)使用規(guī)避技術(shù)躲避檢測(cè)，并執(zhí)行一系列惡意活動(dòng)，從被入侵系統(tǒng)中收集敏感數(shù)據(jù)。

Viakoo公司Viakoo實(shí)驗(yàn)室副總裁John Gallagher在談到新的攻擊時(shí)說(shuō)：這是LokiBot的新包裝，相比之前更不容易被發(fā)現(xiàn)，并且能有效地掩蓋其蹤跡和混淆其過(guò)程，從而可能導(dǎo)致大量個(gè)人和商業(yè)數(shù)據(jù)外流。

為了防范此威脅，建議用戶(hù)在處理 Office 文檔或未知文件（尤其是包含外部鏈接的文件）時(shí)要更加謹(jǐn)慎。

Coalfire副總裁Andrew Barratt評(píng)論道，從解決方案和解決方法的角度來(lái)看，Microsoft是問(wèn)題的根源，因此我們必須提醒用戶(hù)保持安全防護(hù)產(chǎn)品為最新版本。

與此同時(shí)這也顯示了電子郵件過(guò)濾解決方案的重要性，因?yàn)樗梢栽诟郊M(jìn)入用戶(hù)的收件箱之前主動(dòng)掃描附件。