Mhux komuni li ċ-ċiberkriminali jwasslu malware għal hack kompjuters bl-użu ta ’fajls tal-Microsoft Office maħduma apposta, b’mod partikolari dokumenti tal-Word, mehmuża ma’ emails tal-ispam. Dawn l-attakki tipikament jiddependu fuq inġinerija soċjali biex iqarraq bl-utent immirat biex jippermetti macros VBA inkorporati fid-dokument.
Imma issa, ġie skopert attakk ġdid ta 'inġinerija soċjali, li ma jeħtieġx li l-utenti jippermettu l-macros. Riċerkaturi fid-ditta tas-Sigurtà, SentinelOne reċentement skoprew li grupp ta 'hackers qed juża Kmandi tal-PowerShell inkorporat ġewwa Fajl PowerPoint (PPT) biex teżegwixxi malware fuq sistema mmirata, mingħajr ma teħtieġ makros Macros, JavaScript jew VBA.
Dawk il-fajls malizzjużi tal-PowerPoint qed iqassmu malware msejjaħ "Zusy," Trojan bankarju, li jimmira għal websajts finanzjarji. Dawn il-fajls, imsejħa "order.ppsx" jew "invoice.ppsx," tqassmu permezz ta 'emails spam b'titoli bħal "Ordni tax-Xiri # 130527" u, "Konferma."
Barra minn hekk, il-kodiċi tal-PowerShell malizzjuż moħbi ġewwa d-dokument jibda hekk kif il-vittma tiċċaqlaq / iddur maws fuq link, li tniżżel tagħbija addizzjonali fuq il-magna tal-vittma - anke mingħajr ma tikklikkja fuqha.
Meta jinfetaħ il-fajl malizzjuż tal-PowerPoint, juri skrin b'rabta waħda li tgħid "Tagħbija ... Jekk jogħġbok stenna":
Meta utent jgħaddi l-maws fuq il-link - anke mingħajr ma tikklikkja fuqha, tikkawża li l-PowerPoint awtomatikament jeżegwixxi l-kodiċi PowerShell, programm estern. Madankollu, il-kodiċi ma jeżegwixxix awtomatikament hekk kif jinfetaħ il-fajl. Il-karatteristika ta ’sigurtà ta’ Vista Protetta li tiġi attivata b’mod awtomatiku fil-biċċa l-kbira tal-verżjonijiet appoġġati ta ’Office, inklużi Office 2013 u Office 2010, turi twissija severa u tħeġġiġhom biex jippermettu jew jiskonnettjaw il-kontenut.
Jekk l-utent jittraskura din it-twissija u jippermetti li l-kontenut jidher, il-kodiċi PowerShell jiġi eżegwit u jiġi kkuntattjat dominju bl-isem "cccn.nl". Fajl jitniżżel minn dan id-dominju u jiġi eżegwit, li eventwalment huwa responsabbli għall-kunsinna ta 'varjant ġdid tat-Trojan bankarju msejjaħ Zusy, Tinba, u Tiny Banker.
Ir-riċerkaturi tas-sigurtà indikaw ukoll li filwaqt li l-attakk ma jaħdimx jekk il-preżentazzjoni malizzjuża tinfetaħ bl-użu ta ’PowerPoint Viewer, u l-biċċa l-kbira tal-verżjonijiet tal-Uffiċċju jwissu lill-utent qabel ma jiġi eżegwit il-kodiċi, il-metodu xorta jista’ jkun effiċjenti f’xi każijiet.
“L-utenti xorta jistgħu b'xi mod jippermettu programmi esterni għax huma għażżienin, bil-għaġġla, jew imdorrijin biss jimblukkaw il-macros. Ukoll, xi konfigurazzjonijiet jistgħu possibbilment ikunu aktar permissivi fl-eżekuzzjoni ta 'programmi esterni milli huma bil-macros, "qal SentinelOne Labs fi blog post.
