由于恶意软件，一个“完全无法检测”的后门被曝光(在新标签中打开)经营者的鲁莽行为。SafeBreachLabs的网络安全研究人员声称已经检测到一个全新的PowerShell后门，如果执行得当，攻击者可以远程访问受感染的端点。从那里，攻击者可以发起各种第二阶段攻击，从信息窃取者到勒索软件(在新标签中打开)，以及介于两者之间的一切。

根据该报告，一个未知的威胁参与者创建了一个名为“ApplyForm[.]docm”的武器化Word文档。它带有一个宏，如果激活，它会启动一个未知的PowerShell脚本。

用脚本丢球

研究人员解释说：“该宏会删除updater.vbs，创建一个伪装成Windows更新一部分的计划任务，该任务将从'%appdata%\local\Microsoft\Windows下的虚假更新文件夹中执行updater.vbs脚本”.

然后，Updater.vbs将运行一个PowerShell脚本，为攻击者提供远程访问权限。

在运行计划任务之前，恶意软件会生成两个PowerShell脚本-Script.ps1和Temp.ps1。内容被隐藏并放置在Word文件内的文本框中，然后保存在伪造的更新目录中。这样，防病毒解决方案无法将文件识别为恶意文件。

Script.ps1与命令和控制服务器联系以分配受害者ID，并接收进一步的指令。然后，它运行存储信息的Temp.ps1脚本并运行命令。

攻击者所犯的错误是以可预测的顺序发布受害者ID，从而允许研究人员监听与C2服务器的对话。

虽然这次攻击的幕后黑手仍然是个谜，但恶意Word文档是今年8月下旬从约旦上传的，到目前为止已经入侵了大约100台设备，这些设备通常属于寻找新就业机会的人。

TheRegister的一位读者(在新标签中打开)描述了他们使用后门的经验，为希望减轻未知后门可能造成的损害的企业提供建议。

“我经营一个MSP，我们在10月3日收到了警报。客户是一个拥有330个席位的慈善机构，直到今天早上我才将其链接到这篇具体的文章。”

“他们拥有零信任[ZT]和Ringfencing，因此尽管宏运行了，但它并没有在Excel之外运行，”他们说。像这样的东西。”