به گزارش وبسایت Bleeping Computer، شرکتها اخیرا ایمیلهایی دریافت کردهاند که حاوی فایلهایی با ادعای ساخته شدن روی ویندوز ۱۱ آلفا هستند. در این ایمیلها به کاربران گفته شده که برای رعایت سازگاری و باز کردن این فایلها باید مراحل خاصی را دنبال کنند، اما دنبال کردن این مراحل باعث از کار افتادن ویژگیهای امنیتی و اجرای یک ماکروی VBA خاص میشود که دربرگیرنده کد مخرب هکرهاست.
کد مربوطه توسط مهاجمان به هم ریخته شده تا قابل تحلیل نباشد، اما همچنان به روشهایی میتوان آن را پاکسازی کرد و دستورات اصلی را خواند. در این کد یک درب پشتی قرار داده شده که با توجه به شواهد احتمالا متعلق به گروه هکری FIN۷ است.
محققان شرکت Anomali میگویند در این اسکریپت VB کدهایی قرار داده شده که پیش از آلوده کردن کامپیوتر زبانهای مورد استفاده در دستگاه را بررسی میکند. چنانچه زبانی از میان روسی، اوکراینی، مولداویایی، سوربی، اسلوواک، اسلوونیایی، استونیایی و صربستانی شناسایی شود، فعالیتهای مخرب متوقف میشود.
با توجه به اسمهایی که در این کمپین استفاده شده، به نظر میرسد که فعالیت هکرها در بازه زمانی بین اواخر ژوئن تا اواخر ژوئیه شکل گرفته است، زمانی که اخبار مربوط به ویندوز ۱۱ شدت بیشتری پیدا کرده بود و نام این سیستم عامل در اکثر محافل اجتماعی شنیده میشد.
هکرها با ادعا به ساخت این فایل از طریق ویندوز ۱۱ آلفا میخواهند کاربران را متقاعد کنند که مشکل عدم سازگاری مانع از دسترسی به اطلاعات شده و میتوانند از طریق دنبال کردن دستورالعملها مشکل را برطرف کنند. ولی با انجام این کارها به مهاجمان اجازه میدهند کد خود را روی کامپیوتر اجرا نمایند.
گروه FIN۷ حداقل از سال ۲۰۱۳ مشغول فعالیت است و تاکنون شرکتهایی مثل «رد رابین»، «آربیز»، «چیلیز» و Chipotle Mexican Grill را هدف حمله قرار داده است.