• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:439

●重點摘要
1.微軟資安研究人員發現新一波VBA惡意巨集規避檢測的新手法。
2.在一個含有幾個VBA模組、VBA使用者表單以及VBA按鈕而經偵測看似無害的WORD檔中，在某個按鈕名稱卻藏有某種形式的加密字符串。
3.當開啟檔案並啟用巨集時，會自動執行解密該字串轉為連結並下載惡意程式(Ransom:Win32/Locky)。

●TWCERT/CC建議，使用微軟Office請務必預設關閉巨集，並僅開啟你所信任或自己撰寫的巨集Office檔案，以避免成為巨集惡意程式目標。

攻擊手法： 以VBA巨集潛藏加密連結以暗中下載惡意軟體

參考連結： https://blogs.technet.microsoft.com/mmpc/2016/05/17/malicious-macro-using-a-sneaky-new-trick/