Microsoft PowerPoint ustiatzailea malware zabaltzeko eta antivirus saihesteko erabiltzen da
Ziber-kriminalek ez dute aukerarik ustiatzeko segurtasun-lainoekin aurkezten direnean. Segurtasun enpresa Trend Micro-k egindako txosten baten arabera, ziberkriminaleek kalteberatasun bat gehiegikeriaz ari dira Windows Microsoft PowerPoint-en (OLE) interfazeak kapsulatzea objektuak malware instalatzeko.
Interfazea normalean Rich Text File (RTF) dokumentu gaiztoen bidez ustiatzen da, DRIDEX banku troiarrak aurten lehenago aurkitutako metodoa erabilita. Hala ere, ustiapen hau PowerPoint aurkezpen fitxategiak konprometitzeko erabili den lehen aldia da.
Hacking kanpaina gehienetan bezala, guztia erabiltzaile errugabeei zuzendutako eranskin bat duen phishing posta elektronikoa bidaliz hasten da, ustez hartzaileek elementu zerrenda bat eska dezaten eskatzen duten kable bidezko fabrikazio hornitzaile batetik, prezioen aurrekontua eskatzeko eta aurreikusitako entrega. data. Dena den, ikuspegi sakonagoarekin, ez du negozio agiririk atxikita, PO-483848.ppsx izena duen eranskin bat baizik.
Biktimak PowerPoint diapositiba maltzurra irekitzen duenean, “CVE-2017-8570” testua erakusten du, hau da, Microsoft Office-rentzako kalteberatasun desberdineko erreferentzia da. Kutsatutako fitxategi honek CVE-2017-0199 ahultasunerako esplotazioa abiarazten du eta ostalariaren ordenagailua kutsatzen hasten da, kode maltzurra PowerPoint Show-ko animazioen funtzio bidez exekutatzen delarik. Behin akats arrakastaz ustiatu, ‘logo.doc’ izeneko fitxategia deskargatuko.
Logo.doc fitxategia JavaScript kodea duen XML fitxategia da, PowerShell komando bat deskargatu eta ‘RATMAN.exe’ izeneko programa berri bat deskargatu eta exekutatzeko programa berri bat deskribatzeko. REMCOS urruneko sarbide tresnaren (RAT) bertsio trojanizatua da eta gero konektatzen da. agindu eta kontrol zerbitzaria.
REMCOS-ek arriskuan dauden operazio ugari egin ditzake arriskuan dagoen sisteman. Besteak beste, malware, keylogging, pantailen erregistroa eta bideoak eta audio grabatzeko bideoak eta audioak grabatzeko eta webcametarako eta mikrofonoetarako hainbat kontrol egin daitezke. REMCOS RATek erasotzaileari munduko edozein lekutatik sistema kontrolatzeko aukera ematen dio.
Gauzak okertzeko, fitxategi maltzurrak .NET babesle ezezagun bat erabiltzen du, segurtasun ikertzaileek ingeniariak alderantzikatzea zailtzen duten hainbat babes eta oztopo biltzen dituena. Hala ere, CVE-2017-0199 zaurgarritasuna detektatzeko metodo gehienek RTF eraso metodora bideratzen dutenez, PPSX PowerPoint erasoaren ibilbidea erabiltzeak erasotzaileei birusak hautematea ekiditen die.
Gauzak okertzeko, fitxategi maltzurrak .NET babesle ezezagun bat erabiltzen du, eta horrek zailtzen ditu segurtasun ikertzaileek hori aztertzea. Azkenean, CVE-2017-0199 detektatzeko metodoak RTF fitxategietan zentratzen denez, PowerPoint fitxategiak erabiltzeari esker, erasotzaileek birusak hautematen dituzte.
“Horrelako kasuak erabiltzaileek fitxategiak irekitzean edo estekak posta elektronikoetan estekak egitean kontuz ibili beharra nabarmentzen dute. Iturri itxuraz zilegiak badira ere”, argitu du blogeko mezuak. “Lantza-phishing saiakerak nahiko sofistikatuak izan daitezke eta adibide honekin ikus daitekeenez, erabiltzaile gehienek fitxategi maltzurrak deskargatzera jo dezakete.”
Hala ere, Microsoft-ek jada adabaki bat kaleratu zuen apirilean ahultasunari aurre egiteko, Trend Micro-k adierazi du. zure sisteman software eguneratu badago, litekeena eraginik izaten, malware kanpaina zara.
Iturria: Neowin