11.9 C
София

Хакери са набелязали нова уязвимост в PowerPoint

Най-четени

Изследователите по сигурността са идентифицирали нова кампания за разпространение на злонамерен софтуер, която използва злонамерени макроси, скрити в прикачени файлове на Microsoft PowerPoint.

Според компанията за кибер сигурност Trustwave фалшифицираните PowerPoint презентации се разпространяват масово по имейл и след като бъдат изтеглени, пускат в действие верига от операции (макрос), която в крайна сметка води до заразяване на системата със злонамерен софтуер от типа LokiBot.

Този механизъм сам по себе си не е необичаен за програмите от пакета Microsoft Office, но начинът, по който тази конкретна атака избягва откриването от антивирусните програми, е това, което привлича вниманието на компанията за кибер сигурност. По-конкретно става въпрос за начинът, по който се манипулират URL адресите, за да се прикрие крайната операция.

Кампания за атакуване чрез PowerPoint

Според Trustwave серията домейни, използвани в тази кампания за заразяване на целевия потребител, всъщност вече са известни на повечето компании за кибер сигурност, както и на самите хостинг провайдъри, които са осигурили услугите си, без да имат знанието, че става въпрос за злонамерено съдържание.

Въпреки това, хакерите умело използват техники за манипулиране на URL адреси, за да прикрият опасните домейни, като заблуждават жертвата и всички защитни филтри и програми, които тя би могла да има инсталирани на системата си.

По-конкретно, кампанията злоупотребява със стандартния синтаксис на унифициран идентификатор на ресурс (URI), за да защити антивирусните услуги bamboozle, кодирани за защита само срещу URL адреси, които следват определен формат.

Отварянето и затварянето на заразения файл на PowerPoint активира злонамерения макрос, стартирайки URL чрез двоичен файл на Windows „mshta.exe.“, който от своя страна пренасочва към VBScript, хостван на Pastebin, онлайн услуга за съхранение на обикновен текст.

Този скрипт съдържа втори URL, който записва изтеглящ файл PowerShell в системния регистър, задействайки изтеглянето и изпълнението на два допълнителни URL адреса – също от Pastebin.

Така потребителят без да осъзнава зарежда DLL инжектор, който след това се използва за заразяване на машината с проба от зловреден софтуер LokiBot, скрит в крайния URL адрес.

Описаният процес може да изглежда прекалено объркан, но използвания голям брой прикрития са именно това, което позволява на атаката да се изпълнява въпреки антивирусните защити и филтри на потребителите.

За да намалят риска срещу този вид заплаха, от Trustwave съветват потребителите да използват по-комплексна антивирусна защита, създадена специално за борба с имейл заплахи, които могат да проверяват целия път от URL адреси за нередности, именно което е от огромно значение в тази ситуация.

Абонирай се
Извести ме за
guest
2 Коментара
стари
нови
Отзиви
Всички коментари

Нови ревюта

Подобни новини