研究人员警告称，攻击者正使用嵌入恶意宏的 Word 文档和 PowerShell，用非硬盘驻留型恶意软件感染计算机。

带有恶意宏的 Word 骚扰文档在过去几个月内成为了感染计算机的主流手段之一。如今攻击者更进一步，使用此类文档传输非硬盘驻留型（Fileless）恶意软件。这种恶意软件没有文件实体，可以直接加载到受害计算机的内存中。

安全研究人员分析了近期发生的一次攻击事件。事件中，攻击者向美国、加拿大和欧洲的企业电子邮件地址发送恶意 Word 骚扰文件。他们发送的邮件带有收件人的名字以及公司的详细信息，这在广于撒网的骚扰攻击活动中并不多见。研究人员认为，邮件内容中带有详细信息更有可能引诱受害者打开附件。

如果受害者打开邮件附件并允许宏，恶意软件将用特定的命令行参数秘密执行 powershell.exe 的一个实例。 Windows PowerShell 是一种任务自动化及配置管理框架，Windows 默认带有该软件，它还有自己的脚本语言。

这种攻击中执行的 PowerShell 命令被用于检查 Windows 系统是32位还是64位的，并相应下载额外的 PowerShell 脚本。

恶意脚本会对计算机进行一系列检查。首先，它试图确定运行环境是否为虚拟机或沙盒，就像恶意软件分析师使用的那些一样；之后，它扫描网络配置文件，寻找学校、医院、大学、医疗、护士等字段；它还会扫描网络上的其它计算机，寻找老师、学生、校董会、儿科、整形外科、POS、卖场、商店、销售等字段； 它还会扫描受害计算机上缓存的 URL ，寻找金融网站，以及 Citrix 、XenApp 等字段。

Palo Alto 研究人员表示，这类检查的目标在于，寻找用于金融转账的系统，并避开属于安全研究人员、医疗和教育机构的系统。只有满足攻击者筛选要求的系统才会被标记并向幕后控制服务器上报。

恶意脚本会在这些系统上下载加密的恶意 DLL 文件，并将其加载入内存。Palo Alto 公司研究人员在发表的一篇博文中称，“骚扰邮件的内容相当详细，还使用了内存驻留型恶意软件，我们认为这种攻击应当被视为高级别威胁。”