0
PowerPoint används för att distribuera Remcos Trojan malware.
Bild: iStock
It-attacker som utnyttjar en sårbarhet för att undgå antivirus upptäckt och leverera skadlig kod via Microsoft PowerPoint.
Fel i Windows Object Linking and Embedding (OLE) gränssnitt utnyttjas av en angripare för att sprida skadlig Microsoft Office-filer.
Utnyttja är vanligen används för att leverera infekterade Rtf-Fil (.RTF) – dokument, it-säkerhetsforskare på Trend Micro har upptäckt angripare med hjälp av den för att kompromettera PowerPoint-bildspel-filer för första gången.
Som med många dataintrång kampanjer, denna attack börjar med en spear-phishing e-post. Meddelandet utger sig för att vara från en kabel-tillverkning leverantör och främst riktar sig till organisationer inom elektronik-industrin.
Avsändarens adress är dold för att se ut som ett meddelande från en affärspartner och e-post visas för att relatera till en för begäran, med en bifogad fil som påstås contatining leverans information.
Phishing e-post används för att sprida skadlig kod via Power Point.
Bild: Trend Micro
Men den bifogade filen är värdelös till mottagaren, som innehåller en skadlig PowerPoint-bildspel som när de öppnas helt enkelt visar texten “CVE-2017-8570′, en hänvisning till en annan Microsoft Office sårbarhet den som används i denna attack.
Den skadliga filen utlöser en exploit för CVE-2017-0199 sårbarhet, som initierar infektion process och resultat i skadlig kod körs med hjälp av PowerPoint-Visa animeringar-funktion, som laddar ner en fil logotyp dokument om det lyckas.
Detta hämtat logo.doc innehåller XML och JavaScript-kod som körs PowerShell för att köra en fil som heter ‘RATMAN.EXE’ en Trojanised version av Remcos remote access-verktyg, som sedan ansluts till ett kommando och kontroll av server.
När de väl är igång på ett system, Remcos kan många brottslig verksamhet, med nedsatt maskiner i riskzonen från keylogging, screenlogging, webbkamera och mikrofon för inspelning, och laddar ned och installerar ytterligare skadlig kod. I slutändan, det kan ge angripare nästan full kontroll över den infekterade maskinen utan att ägaren är medveten.
Forskarna notera att urvalet bakom denna attack använder NET protector, som innehåller flera skydd och förvanskningar för att göra det svårare för forskare att dekonstruera. Det visar skicklighet på den del av angriparna, vilket tyder på att detta inte är en amatör kampanj.
Kritiskt, eftersom de flesta metoder för att upptäcka den CVE-2017-0199 sårbarhet fokus på RTF-attack metod, användning av PPSX PowerPoint som ett angrepp innebär angripare kan kod skadlig kod för att undvika antivirus upptäckt.
Lyckligtvis finns det ett sätt att helt undvika att bli ett offer för just denna attack, Microsoft släppt patchar för att åtgärda säkerhetsproblemet i April och alla system har uppdaterats med dessa är säkert från denna attack.
Ändå, användarna måste vara beredd att ta de risker som är förknippade med legitima letar phishing e-post.
“Fall som detta belyser behovet för användare att vara försiktig när du öppnar filer eller klicka på länkar i e-post-även om de kommer från till synes legitima källor. Spear phishing försök som kan vara ganska sofistikerade, och som kan ses med detta exempel kan lura de flesta användare ladda ner skadliga filer”, skrev TrendMicro forskare Ronnie Giagone och Rubio Wu.
Det finns olika tekniker som organisationer kan använda för att försvara sig mot dessa attacker, med utbildning av personalen spelar en viktig roll.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Anpassad phishing-attacker växa som skurkar skapa falska flyg bekräftelser, kvitton Google detaljer hur det klämmas ner på omfattande nätfiske [MAG]Cyberkrig: En guide till den skrämmande framtid online conflictThis nätfiske-e-post använder ett oväntat knep för att infektera Datorer med keylogger malwareWarning, Windows 10 användare! Teknisk support scammers har en ny metod för phishing-attacker [TechRepublic]
0