利用Visual Studio工具传播恶意软件的风险

关键要点

• 恶意软件传播方式 ：攻击者利用Microsoft Visual Studio Tools for Office进行.NET恶意软件集成。
• 宏禁用背景 ：此类攻击在Microsoft默认阻止VBA和XL4宏执行后更为常见。
• VSTO方法的优势 ：本地VSTO方法由于无需信任机制，更受攻击者青睐。
• 攻击实例 ：攻击通过“custom.xml”参数跟踪和安装插件，并在打开文档时触发安装提示。
• 目标用户 ：某攻击特别针对西班牙用户，执行加密和压缩的PowerShell脚本。

最近，更多的网络攻击者开始利用Microsoft Visual Studio Tools forOffice（VSTO）来集成.NET恶意软件于Office附加组件中，这是因为。根据DeepInstinct的报告，尽管本地VSTO方法因其不需要信任相关的安全机制而受到攻击者青睐，但也有一些威胁行为者使用了远程VSTO附加组件。

攻击过程中，VSTO利用了一个“custom.xml”参数来跟踪和安装附加组件。通常，附加组件的负载依赖项会与文档一起存储在一个ISO容器中。报告显示，当用户打开这些文档时，会出现一个附加组件安装提示。同样，针对西班牙用户的攻击案例中，攻击导致了一个加密和压缩的PowerShell脚本的执行。

此外，在某些使用远程VSTO的攻击中，攻击者还构造了负载，以便下载一个受密码保护的ZIP文件。这种攻击方式揭示了邮件附件和文档分享的潜在风险，用户在打开这些文档时需特别谨慎，以防止遭遇恶意软件入侵。

以下是相关攻击方式的对比表：

针对这种情况，用户和组织需要加强安全防护措施，包括教育员工识别可疑文档，增强电子邮件安全策略，以及使用强大的反病毒软件以应对这类潜在的恶意软件攻击。