0
PowerPoint wordt gebruikt om te helpen verspreiden Remcos Trojan malware.
Beeld: iStock
Cyber criminelen zijn het exploiteren van een kwetsbaarheid te ontlopen antivirus detectie en het leveren van malware via Microsoft PowerPoint.
De fout in het Windows-Object Linking and Embedding (OLE) interface wordt misbruikt door aanvallers te verspreiden schadelijke Microsoft Office-bestanden.
De exploit wordt vaak gebruikt voor het leveren van geïnfecteerde rtf-Bestand (.RTF) documenten, maar cyber security onderzoekers van Trend Micro hebben gespot aanvallers met behulp van het compromis PowerPoint slide show-bestanden voor de eerste keer.
Zoals met vele hacken campagnes, deze aanval begint met een spear-phishing e-mail. Het bericht beweert te zijn van een kabel-productie dienstverlener en richt zich op organisaties in de elektronica-industrie.
Het adres van de afzender is vermomd om te kijken als een bericht van een zakelijke partner en de e-mail lijkt betrekking te hebben op een order verzoek, met een bijlage ogenschijnlijk contatining informatie over de verzending.
Phishing-e-mail gebruikt voor het distribueren van malware via Power Point.
Afbeelding: Trend Micro
Echter, de bijlage is nutteloos voor de ontvanger, met een kwaadaardige PowerPoint laten zien dat wanneer het wordt geopend geeft de tekst ‘CVE-2017-8570’, de referentie van een andere Microsoft Office kwetsbaarheid op de één gebruikt in deze aanval.
Het kwaadaardige bestand activeert een exploit voor CVE-2017-0199 kwetsbaarheid, die initialiseert het infectie proces en de resultaten van een kwaadaardige code wordt uitgevoerd met behulp van de PowerPoint-animaties Tonen-functie, die het downloaden van een bestand logo document als het een succes is.
Dit gedownload logo.doc bevat XML en JavaScript-code, die loopt PowerShell voor het uitvoeren van een bestand met de naam ‘RATMAN.EXE’ een Trojanised versie van de Remcos remote access tool, die maakt vervolgens verbinding met een command and control-server.
Eenmaal up and running op een systeem, Remcos in staat is vele criminele activiteiten, met besmette machines op risico van keylogging, screenlogging, webcam en microfoon-recorders, en het downloaden en uitvoeren van aanvullende malware. Uiteindelijk, het kunnen geven van de aanvaller bijna volledige controle over de geïnfecteerde computer zonder de eigenaar wordt op de hoogte.
De onderzoekers concludeerden dat het monster achter deze aanval maakt gebruik van de NETTO-protector, die is voorzien van diverse beveiligingen en verbasteringen om het moeilijker te maken voor onderzoekers te reverse-engineeren. Dat geeft vaardigheid van de kant van de aanvallers, wat suggereert dat dit niet een amateur-campagne.
Kritisch, aangezien de meeste methoden voor het opsporen van de CVE-2017-0199 kwetsbaarheid focus op de RTF-aanval methode, het gebruik van de PPSX PowerPoint als een aanval betekent aanvallers kunnen de code van de malware te voorkomen antivirus detectie.
Gelukkig, er is een manier om volledig te voorkomen dat u slachtoffer wordt van deze specifieke aanval; Microsoft patches uitgebracht om het beveiligingslek te verhelpen in April en een systeem bijgewerkt met deze veilig is voor deze aanval.
Toch moeten gebruikers alert te blijven op de risico ‘ s die samenhangen met legitieme kijken phishing e-mails.
“De gevallen als deze onderstrepen de noodzaak voor gebruikers om voorzichtig te zijn bij het openen van bestanden of het klikken op links in hun e-mails, zelfs als ze komen uit een schijnbaar legitieme bronnen. Spear phishing-pogingen kunnen worden behoorlijk geavanceerd, en zoals te zien is met dit voorbeeld, kan de truc die de meeste gebruikers in het downloaden van schadelijke bestanden,” schreef TrendMicro onderzoekers Ronnie Giagone en Rubio Wu.
Er zijn verschillende technieken die organisaties kunnen gebruiken om zich te verdedigen tegen deze aanvallen, met de opleiding van het personeel spelen een belangrijke rol.
LEES MEER OVER CYBER CRIME
Aangepaste phishing-aanvallen groeien als oplichters maken nep vlucht bevestigingen, ontvangsten Google details van hoe dit vastgeklemd op massale phishing scam [CNET]Cyberwar: Een gids voor de angstaanjagende toekomst van online conflictThis phishing-e-mail maakt gebruik van een onverwachte truc om het infecteren van Pc ‘ s met een keylogger malwareWarning, Windows 10 gebruikers! Tech support oplichters hebben een nieuwe methode voor phishing-aanvallen [TechRepublic]
0