0
PowerPoint bruges til at hjælpe med at distribuere Remcos Trojan, malware.
Billede: iStock
Cyber hackere udnytter en sårbarhed til at omgå antivirus detektion og levere malware via Microsoft PowerPoint.
Fejl i Windows Object Linking and Embedding (OLE) – grænseflade, der er ved at blive udnyttet af hackere til at distribuere ondsindede Microsoft Office-filer.
Den udnyttelse, der er almindeligt anvendt til at levere inficeret Rich Text Fil (.RTF) dokumenter, men cyber security forskere på Trend Micro har spottet angribere bruge det til at gå på kompromis PowerPoint-diasshow-filer for første gang.
Som med mange hacking kampagner, dette angreb begynder med et spyd-phishing e-mail. Den besked, der foregiver at være fra en kabel-fremstilling udbyder og primært er rettet mod organisationer, der er i den elektroniske industri.
Afsenderens adresse er forklædt til at ligne en besked fra en business partner og e-mail synes at forholde sig til en ordre anmodning, med en vedhæftet fil angiveligt contatining skibsfart oplysninger.
Phishing-mail, der bruges til at distribuere malware via Power Point.
Billede: Trend Micro
Men, den vedhæftede fil er ubrugelig til modtageren, der indeholder en ondsindet PowerPoint show, der, når den åbnes blot viser teksten “CVE-2017-8570′, henvisning til et andet Microsoft Office-sårbarhed over for den, der anvendes i dette angreb.
Den skadelige fil udløser en exploit til CVE-2017-0199 sårbarhed, som initialises infektion proces og resultater i ondsindet kode, der køre ved hjælp af PowerPoint Show animationer funktion, som henter en fil logo dokument, hvis det lykkes.
Dette downloadet logo.doc indeholder XML og JavaScript-kode, som kører PowerShell til at udføre en fil kaldet ‘RATMAN.EXE’ en Trojanised version af Remcos remote access-værktøj, der opretter derefter forbindelse til en kommando og kontrol-server.
Når op og køre på et system, Remcos er i stand til at mange kriminelle aktiviteter, med maskiner der risiko for keylogging, screenlogging, webcam og mikrofon-optagere, og at downloade og udførelse af yderligere malware. I sidste ende, kan det give hackeren næsten fuld kontrol over den inficerede maskine, uden at ejeren er klar over det.
Forskere bemærk, at prøven bag dette angreb bruger NET protector, der omfatter flere beskyttelsesmekanismer og obfuscations for at gøre det mere svært for forskere at foretage reverse engineering. Det indikerer, dygtighed på en del af de angribere, hvilket tyder på, at dette ikke er en amatør-kampagne.
Kritisk, da de fleste metoder til påvisning af den CVE-2017-0199 sårbarhed fokus på RTF-angreb metode, brugen af PPSX PowerPoint som et angreb betyder, at angriberne kan kode malware til at undgå antivirus detektion.
Heldigvis er der en måde til helt at undgå at blive offer for denne særlige angreb, Microsoft har frigivet rettelser til adresse sårbarhed i April og eventuelle systemer opdateret med disse er sikkert fra dette angreb.
Ikke desto mindre, at brugerne skal fortsat være opmærksom på de risici, der er forbundet med legitime søger phishing-e-mails.
“I tilfælde som dette understreger behovet for, at brugerne til at være forsigtig, når du åbner filer eller klikke på links i e-mails-heller ikke hvis de kommer fra tilsyneladende legitime kilder. Spear phishing-forsøg kan være temmelig avancerede, og som det ses med dette eksempel, kan narre de fleste brugere til at downloade ondsindet filer,” skrev TrendMicro forskere Ronnie Giagone og Rubio Wu.
Der er forskellige teknikker, organisationer kan bruge til at forsvare sig mod disse angreb, med uddannelse af personale, der spiller en central rolle.
LÆS MERE OM IT-KRIMINALITET
Brugerdefineret phishing-angreb vokse som skurke oprette falske flyvning bekræftelse, kvitteringer Google detaljer, hvordan det hårdt ned på massiv phishing scam [CNET]Cyberkrig: En guide til den skræmmende fremtidige online conflictThis phishing-e-mail bruger en uventet trick til at inficere Pc ‘ er med keylogger malwareWarning, Windows 10 brugere! Teknisk support svindlere har en ny metode til phishing-angreb [TechRepublic]
0