Новые "подарки" - в файле PowerPoint от спамеров

Модератор: zidanchik

Аватара пользователя

Автор темы
borka
Старожил
Сообщения: 1791
Зарегистрирован: Март 2010
Репутация: 60
Пол: Мужской
Откуда: Ukraine Independent
Благодарил (а): 398 раз
Поблагодарили: 626 раз
Контактная информация:

Новые "подарки" - в файле PowerPoint от спамеров

#1

Сообщение borka » 08 июн 2017, 01:40

Достаточно провести курсором над ссылкой в файле PowerPoint, чтобы заразиться малварью

Распространение различной малвари с помощью вредоносных файлов Office (чаще всего их роль играют документы Word) – это давно проверенная злоумышленниками тактика. Как правило, такие атаки включают в себя элемент социальной инженерии и используют макросы VBA в документе.

Теперь независимый эксперт Рубен Дэниел Додж (Ruben Daniel Dodge), а также специалисты компании SentinelOne, предупреждают о появлении новой техники атак, которая использует файлы PowerPoint и выглядит опаснее уже привычных уловок с макросами.

Исследователи сообщают, что вредоносные файлы распространяются через спамерские письма с темами вида RE:Purchase orders #69812 или Fwd:Confirmation. Внутри таких посланий можно обнаружить вложения с именами order&prsn.ppsx, order.ppsx и invoice.ppsx. Иногда файлы бывают запакованы в ZIP-архивы.

Файл вредоносной презентации содержит всего один слайд, и его можно увидеть на иллюстрации ниже. Надпись, которая также является ссылкой, гласит: «Загрузка… Пожалуйста, подождите».

Изображение

Так как никакой загрузки, разумеется, не происходит, пользователь наверняка захочет если не кликнуть по ссылке, то хотя бы навести на нее курсор, а это спровоцирует попытку выполнения кода PowerShell. Если у жертвы при этом включена защитная функция Protected View, активная в большинстве поддерживаемых версий Office, система предупредит пользователя об опасности и остановит атаку.

Изображение

Однако если Protected View не работает, или пользователь решил пренебречь предупреждением, вредоносный PowerShell сработает, что приведет к загрузке на компьютер файла c.php с домена cccn.nl. Эксперты пишут, что согласно их анализу, таким методом распространяются новые версии банковского трояна, известного под названиями Zusy, Tinba или Tiny Banker.


жЫть - хорошо, но Хорошо жЫть - лучше!
Изображение
Изображение
Изображение

Вернуться в «Информационная безопасность»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость