Microsoft Visual Studio 插件可用于传播恶意软件

随着Microsoft Office中宏的消亡（在新标签页中打开）文件，似乎另一种替代方法越来越受欢迎，新的报道称。

Deep Instinct 的网络安全研究人员发现，网络犯罪分子对 Microsoft Visual Studio Tools for Office (VSTO) 的使用呈上升趋势，因为他们构建恶意 Office 加载项，帮助他们实现持久性并在目标端点上运行恶意代码。

黑客在这里所做的是构建基于 .NET 的恶意软件（在新标签页中打开），然后将其嵌入到 Office 加载项中，这种做法需要威胁行为者更加熟练。

绕过杀毒软件

这种方法算不上新鲜，但在 Office 宏占主导地位时并不流行。现在 Microsoft 有效地消除了该威胁，VSTO 构建的威胁越来越多。这些加载项可以与 Office 文档一起发送，或者托管在其他地方并由攻击者发送的 Office 文档触发。

换句话说，受害者仍然需要下载并运行 Office 文件和加载项才能被感染，因此网络钓鱼仍将发挥主要作用。话虽这么说，攻击媒介仍然非常危险，因为它能够成功绕过防病毒程序和其他恶意软件保护服务。事实上，Deep Instinct 能够创建一个有效的概念验证 (PoC)，将 Meterpreter 有效负载传送到端点。可以在此链接上找到 PoC 的视频演示（在新标签页中打开）. 研究人员表示，他们被迫禁用 Microsoft Windows Defender 只是为了记录该过程。

他们表示，Meterpreter 是一种用于渗透测试的安全产品，很容易被防病毒产品检测到，但并未检测到 PoC 的所有元素。

总之，研究人员预计 VSTO 构建的攻击数量将继续上升。他们还希望民族国家和其他“高素质”行为体也能采用这种做法。