一群黑客正在使用Word文档中的远程桌面ActiveX控件在Windows 10上自动执行一个名为Ostap的恶意软件下载程序，该程序最近被TrickBot用来传送。

安全研究人员发现了数十个文件，这些文件传递了第一个恶意软件有效负载，这表明行动规模更大。

从网络钓鱼开始

由Bromium研究人员进行广泛分析的Ostap 是通过带有恶意宏代码并包含据称显示加密内容的图像的Word文档发送的。这是诱使受害者在文档中启用宏的诡计。

威胁者通过伪装成丢失付款通知的网络钓鱼电子邮件来发送恶意文档。附件中是邮件中提及的伪造发票。

Morphisec的安全研究人员分析了中毒的文档，并注意到嵌入式图像下方隐藏了一个ActiveX控件。

仔细观察发现，威胁参与者使用了MsRdpClient10NotSafeForScripting类，该类用于远程控制。Windows 10是最低受支持的客户端，Windows Server 2016是最低受支持的服务器。

可以将ActiveX控件添加到Word文档中的文本或图形图层，以使其具有交互性。

聪明地交付和执行

Morphisec的Michael Gorelik 在今天的一份报告中写道，文档中存在Ostap下载器的java script代码，该字体的字体与背景颜色相同，因此肉眼看不见。

另一个有趣的发现是，攻击者并未在与远程桌面服务器建立连接所需的MsRdpClient10NotSafeForScripting类中填充“服务器”字段。

攻击者并不能因此而忽略，因为发生的错误有助于稍后执行恶意代码，从而逃避了检测。