研究人員警告稱，攻擊者正使用嵌入惡意宏的 Word 文檔和 PowerShell，用非硬盤駐留型惡意軟件感染計算機。

帶有惡意宏的 Word 騷擾文檔在過去幾個月內成為了感染計算機的主流手段之一。如今攻擊者更進一步，使用此類文檔傳輸非硬盤駐留型（Fileless）惡意軟件。這種惡意軟件沒有文件實體，可以直接加載到受害計算機的內存中。

安全研究人員分析了近期發生的一次攻擊事件。事件中，攻擊者向美國、加拿大和歐洲的企業電子郵件地址發送惡意 Word 騷擾文件。他們發送的郵件帶有收件人的名字以及公司的詳細信息，這在廣于撒網的騷擾攻擊活動中并不多見。研究人員認為，郵件內容中帶有詳細信息更有可能引誘受害者打開附件。

如果受害者打開郵件附件并允許宏，惡意軟件將用特定的命令行參數秘密執行 powershell.exe 的一個實例。 Windows PowerShell 是一種任務自動化及配置管理框架，Windows 默認帶有該軟件，它還有自己的腳本語言。

這種攻擊中執行的 PowerShell 命令被用于檢查 Windows 系統是32位還是64位的，并相應下載額外的 PowerShell 腳本。

惡意腳本會對計算機進行一系列檢查。首先，它試圖確定運行環境是否為虛擬機或沙盒，就像惡意軟件分析師使用的那些一樣；之后，它掃描網絡配置文件，尋找學校、醫院、大學、醫療、護士等字段；它還會掃描網絡上的其它計算機，尋找老師、學生、校董會、兒科、整形外科、POS、賣場、商店、銷售等字段； 它還會掃描受害計算機上緩存的 URL ，尋找金融網站，以及 Citrix 、XenApp 等字段。

Palo Alto 研究人員表示，這類檢查的目標在于，尋找用于金融轉賬的系統，并避開屬于安全研究人員、醫療和教育機構的系統。只有滿足攻擊者篩選要求的系統才會被標記并向幕后控制服務器上報。

惡意腳本會在這些系統上下載加密的惡意 DLL 文件，并將其加載入內存。Palo Alto 公司研究人員在發表的一篇博文中稱，“騷擾郵件的內容相當詳細，還使用了內存駐留型惡意軟件，我們認為這種攻擊應當被視為高級別威脅。”

來自 SANS 研究所互聯網風暴中心（Internet Storm Center）的研究人員上周也觀測到一種與此類似的攻擊活動，過程中結合了 PowerShell 和非硬盤駐留型惡意軟件。

這種惡意軟件會創建一個注冊表鍵，在每次系統啟動時運行隱藏的 PowerShell 實例。 PowerShell 命令將運行存儲在另外的注冊表鍵zho編碼過的腳本。這種處理方式可以在不向硬盤寫入的前提下將可執行文件解密并直接加載入內存。

SANS 研究所資深講師馬克·巴吉特（Mark Baggett）在博文中寫道：“通過使用 PowerShell ，攻擊者能夠將可能在硬盤上被檢測到的惡意軟件放進 Windows 注冊表中。”

將惡意軟件存儲在注冊表中、 通過濫用 Windows PowerShell將惡意宏加到文檔上都并不是新技術。然而，兩者的結合可能制造強有力且很難發現的攻擊。