Microsoft Office-malware: Banking trojanske downloads, hvis du holder musen over PowerPoint hyperlink

0
197
zusyppwarning.png

Ignorere denne advarsel fra Microsoft er på egen risiko.

Billede: SentinalOne/Microsoft

Spammere er at teste en ny måde at narre ofre til at installere malware, der downloads, når brugeren flytter musen hen over et link i en PowerPoint-diasshow.

Den ny infektion metode tilføjer et twist til det fælles råd til ikke at klikke på mistænkelige links fra kilder og udvikler sig Kontoret makro malware trussel, der genopstod i 2015, hvilket tricks e-mail-modtagere til at køre en skadelig makro eller et script, der henter og installerer malware.

BleepingComputer for nylig opdaget den nye drejning på Kontoret malware, som ikke kræver, at makroer, men snarere misbrug en hover handling i PowerPoint slide show mode til at installere malware. Hvis modtageren åbner PowerPoint-filen, og svæver over hyperlinkede tekst i dokumentet, det vil køre en PowerShell-kommando, der forbinder til en ondsindet domæne og downloads malware filer.

Malware er leveret som spam e-mail med emnet overskrifter og vedhæftede filer med navne, der tyder på en faktura eller ordrebekræftelse. Den vedhæftede fil formater er de open-source version af Microsoft PowerPoint-diasshow (PPSX), der kun er for visning, og kan ikke redigeres som normale PPT eller PPTX-filer.

Den PPSX eksempler er set så langt vise den hyperlinkede tekst “Loading… vent Venligst”. Svævende over det, vil hente malware automatisk, medmindre Kontor Beskyttet Visning er aktiveret. Heldigvis, Beskyttet Visning var aktiveret som standard i Office 2010, i hvilket tilfælde Office viser en sikkerhedsadvarsel, som blokerer for download.

Den PowerPoint-fil, henter en bank trojan det kræver Gootkit eller Otlard. SentinalOne kalder malware Zusy.

Trend Micro fundet en spam kampagne med ondsindet PowerPoint-filer i slutningen af Maj, der hovedsagelig sigter mod organisationer i STORBRITANNIEN, Polen, Holland og Sverige. Banden bag denne spam har tidligere anvendte makro malware dokumenter til at levere forskellige nyttelast.

Den aktuelle kampagne var ikke udbredt, men Trend Micro forskere mente, at det er en “tør køre til fremtidige kampagner”, som kan omfatte en ransomware nyttelast.

“Mens funktioner som makroer, OLEs, og musen svæver har deres gode og legitime anvendelser, denne teknik er potente i de forkerte hænder. En socialt konstrueret e-mail og musen svæve-og muligvis et klik, hvis denne er deaktiveret-er alle det ville tage at inficere offerets,” skrev Trend Micro.

Mere om sikkerhed

Linux-server angreb: Patch Samba eller risiko cryptocurrency minedrift malwareWant ransomware-Vinduer? Det vil ikke arbejde mod Windows 10 S, hævder MicrosoftThis Android-malware har en ‘farlig’ nye attackMicrosoft køber sikkerhed-automation sælger HexaditeWindows firewall undveget af ‘hot-lappe’ spioner ved hjælp af Intel AMT, siger Microsoft