0
PowerPoint viene utilizzato per aiutare a distribuire Remcos malware Trojan.
Immagine: iStock
Gli aggressori, sfruttando una vulnerabilità di eludere il rilevamento antivirus e distribuire malware tramite Microsoft PowerPoint.
Il difetto in Windows Object Linking and Embedding (OLE) interfaccia è sfruttata da malintenzionati per distribuire dannosi i file di Microsoft Office.
L’exploit è comunemente utilizzato per distribuire infetti File di Testo rtf (.RTF) i documenti, ma la sicurezza informatica i ricercatori Trend Micro hanno individuato gli aggressori si utilizza per compromettere presentazione di PowerPoint file per la prima volta.
Come con molti hacking, l’attacco inizia con una spear-phishing e-mail. Il messaggio che si pretende da un cavo di produzione di fornitore e si rivolge principalmente alle organizzazioni nella produzione di elettronica industriale.
L’indirizzo del mittente è sembianze di un messaggio da un partner commerciale e la mail sembra riguardare una richiesta di ordine, con un allegato presumibilmente contatining informazioni di spedizione.
Phishing e-mail utilizzato per distribuire malware tramite Power Point.
Immagine: Trend Micro
Tuttavia, l’allegato è inutile per il ricevitore, contenente un dannoso presentazione di PowerPoint che quando è aperto semplicemente visualizzato il testo “CVE-2017-8570′, il riferimento di una diversa vulnerabilità di Microsoft Office a quello utilizzato in questo tipo di attacco.
Il file dannoso innesca un exploit per il CVE-2017-0199 vulnerabilità, che inizializza il processo di infezione e risultati in codice dannoso viene eseguito utilizzando il programma PowerPoint animazioni caratteristica, che consente di scaricare un file logo del documento in caso di successo.
Scaricato logo.doc contiene XML e codice JavaScript che viene eseguito di PowerShell per eseguire un file chiamato ‘RATMAN.EXE’ e ‘ una Trojanised versione del Remcos strumento di accesso remoto, che poi si collega a un server di comando e controllo.
Una volta installato e in esecuzione su un sistema, Remcos è capace di molte operazioni criminali, con le macchine compromesse a rischio di keylogging, screenlogging, webcam e microfono registratori, e il download e l’esecuzione di altri malware. In definitiva, si può dare l’attaccante quasi pieno controllo del computer infetto senza che il proprietario se ne accorga.
I ricercatori di notare che il campione dietro a questo attacco usa NET protector, che comprende numerose protezioni e obfuscations per rendere più difficile per i ricercatori di reverse engineering. Che indica l’abilità da parte degli attaccanti, suggerendo che questo non è un dilettante campagna.
Criticamente, poiché la maggior parte dei metodi di rilevamento della CVE-2017-0199 vulnerabilità concentrarsi sul RTF metodo di attacco, l’uso del PPSX PowerPoint come un vettore di attacco significa che gli hacker possono codice malware per evitare il rilevamento antivirus.
Fortunatamente, c’è un modo per evitare di diventare una vittima di questo particolare tipo di attacco; Microsoft ha rilasciato le patch per risolvere la vulnerabilità nel mese di aprile e di eventuali sistemi aggiornati con questi è al sicuro da questo tipo di attacco.
Tuttavia, gli utenti hanno bisogno per rimanere allerta per i rischi derivanti dalla legittima cercando di email di phishing.
“Casi come questo, evidenziare la necessità per gli utenti di essere cauti quando si apre un file o fare clic su un link nel loro e-mail, anche se provengono da apparentemente fonti legittime. Lancia tentativi di phishing può essere piuttosto sofisticato, e come abbiamo visto con questo esempio, può ingannare la maggior parte degli utenti a scaricare i file dannosi”, ha scritto TrendMicro ricercatori Ronnie Giagone e Rubio Wu.
Ci sono varie tecniche organizzazioni possono utilizzare per difendersi da questi attacchi, con la formazione del personale svolge un ruolo chiave.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Personalizzato attacchi di phishing crescere come truffatori creare falsi volo conferme, conferme di Google dettagli come si è fissata su enorme truffa di phishing [CNET]Cyberwar: Una guida per la paura del futuro della conflictThis email di phishing utilizza un inaspettato per infettare il Pc con keylogger malwareWarning, Windows 10 utenti! Supporto tecnico truffatori hanno un nuovo metodo per attacchi di phishing [TechRepublic]
0