Trend Micro алармира, че престъпници провеждат кампания по доставяне на сложна зловредна програма чрез Power Point Slide Show (PPSX) файлове.

Въпросната неизвестна страна използва запушена тази пролет уязвимост – CVE-2017-0199 – която е позволявала на престъпна групировка да доставя зловредна програма от семейството на DRIDEX. За разлика от предишните атаки, в които са използвани натоварени със зловреден код RTF файлове, този път става дума за различен тип зловредна програма и PPSX файлове. Атаките се провеждат чрез изпращането на фишинг писма, направени така че да подлъжат жертвата, че идват от легитимен източник, най-често бизнес партньор. Веднъж стартирана предполагаемата презентация, бива задействано изпълнението на зловреден код, благодарение на функцията за анимиране. Успешното експлоатиране на споменатата уязвимост позволява свалянето на XML файл с JavaScript код в него и последващо сваляне и инсталиране на файл с името RATMAN.exe. Това представлява модифицирана версия на легитимен инструмент за отдалечена администрация, позволяваща широки правомощия на атакуващата страна.

Въпросният инструмент може да се използва от атакуващата страна за отдалечено изпълнение на команди към инфектираната машина, запис на натисканите бутони на клавиатурата, снимки на екрана, запис на видео и звук посредством микрофона и камерата. Освен това, авторите на зловредната кампания успешно маскират кода на програмата, така че да не позволят допълнително детекция и анализ на троянеца.

Trend Micro напомнят на всички потребители, че трябва да проявяват особено внимание при отварянето на приложени файлове в имейл писма, като по отношрние на тази конкретна атака, тези, които обновяват редовно своята система са защитени, тъй като въпросната уязвимост е запушена още през април.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за