小心伪装成用户调研文档的钓鱼邮件攻击陌生文件的宏代码切勿启用

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

小心伪装成用户调研文档的钓鱼邮件攻击陌生文件的宏代码切勿启用

2019-11-06 16:23:07

所属地广东省

一、背景

腾讯安全御见威胁情报中心捕获到一例伪装成某公司的用户投诉调研文档的钓鱼邮件攻击。黑客在投递的恶意文档中嵌入恶意宏代码，一旦用户在打开文档时选择执行宏，就会在用户电脑上执行一段Powershell，通过多次解码后，执行Poweshell版开源远控木马powerfun。该远控木马采用Powershell实现，可作为控制端段或被控端运行，安装后会搜集系统信息上传，下载安装其他模块，执行任意远程指令。

为了掩盖其行动，黑客精心伪装攻击文档内容，使得其与真实的用户调研文档十分相似。同时其中嵌入的恶意Powershell代码经过多层混淆，采用“无文件”的攻击方式来保证攻击过程不易被发现。

腾讯电脑管家、腾讯御点均可查杀拦截该诱饵文档。

二、详细分析

载荷投递

打开文档时microsoft office程序提示文档中被嵌入的宏被禁用，问询是否启用内容，一旦启用，恶意代码便会执行。

文档标题：HSS Hire Services Complaint form（HSS Hire服务投诉表）。引语：（译文）“我们致力于提供高质量的护理和服务以满足您的需求，我们重视您的反馈，包括投诉。请告诉我们还有哪些地方可以改进我们的服务。“

根据该文档的导航信息，文档内容包含6个部分，各部分主题分别如下：

第1部分：客户详情。

第2部分：请提供反馈涉及的服务的详细信息。

第3部分：请详细说明你的反馈问题。

第4部分：你对这个问题已经采取了哪些行动？

第5部分：你希望通过提供反馈得到什么样的结果？

第6部分：声明(签字和日期)。

从文档中提取出宏代码，可以看到在AutoOpen()函数中定义了一个字符串变量veqTMFKmz，并在变量中通过拼接的方式赋值Powershell -ec “xxxxx”，最终执行一段经过base64编码的命令。

在Powershell代码执行时，还会通过MsBox()提示一段话，告诉用户文档创建时使用的microsoft office版本过低导致，需要联系作者将文档另存为一个新的格式，以此来掩盖其恶意代码执行过程。用于迷惑用户的提示内容如下：

"This application appears to have been made with an older version of the Microsoft Office product suite. Please have the author save this document to a newer and supported format. [Error Code: -219]"