هجوم تصيد جديد يسيء استخدام ملفات PowerPoint لنشر البرامج الضارة

توصل ممثلو التهديد إلى طريقة أخرى لاختراق الأنظمة المستهدفة ونشر البرامج الضارة. في حملة جديدة يتعقبها الباحثون الأمنيون ، يستخدم الفاعلون السيئون تنسيق ملف PowerPoint غير معروف لنشر البرامج الضارة والسيطرة على أنظمة الضحايا.

نوع الملف الأقل شهرة المستخدم في التفاف البرامج الضارة

يتم تعقب الهجمات من قبل شركة تابعة لشركة الأمن Check Point Software. في هذه الحملة الجديدة ، يستخدم ممثلو التهديد تنسيق ملف ينتمي إلى مجموعة الامتدادات التي يعمل معها Microsoft PowerPoint ويفتحها ، ولكن لا يتم استخدامه كثيرًا.

تستخدم الهجمات ملفات .ppam - تنسيق ملف إضافي لعروض PowerPoint التقديمية. يتضمن نوع الملف أوامر ووحدات ماكرو إضافية غير موجودة في أنواع ملفات PowerPoint الأخرى.

يتتبع الباحثون هجمات ملفات PowerPoint منذ يناير 2022. يستخدم الفاعلون السيئون ملفات .ppam لالتفاف الملفات التنفيذية المستخدمة للسيطرة على الأنظمة. يتم نشر الملفات باستخدام رسائل البريد الإلكتروني المخادعة مع نص يتعلق بأمر شراء مزيف وطلب من الضحية للرد بفاتورة.

الملف التنفيذي الضار الملفوف داخل ملف .ppam لديه القدرة على كتابة قيم تسجيل Windows وتحقيق الثبات أثناء مراقبة ذاكرة النظام المصاب. نوع الملف غير المعروف يعني أن الحمولة الموجودة داخل ملف .ppam يمكنها تفادي الإجراءات الأمنية على النظام الهدف.

يمكن أن تقدم ملفات .PPAM برامج الفدية

أوضح باحثو الأمن الخطر الذي يمثله نوع الملف الأقل استخدامًا. من خلال تغليف الحمولة الخبيثة داخل ملف لا يتم فحصه عادةً بواسطة إجراءات الأمان المؤتمتة ، يمكن للممثلين السيئين تسليم أي حمولة قابلة للتنفيذ يرغبون فيها ، بما في ذلك برامج الفدية . في الواقع ، ذكر الباحثون الذين يتتبعون الحملة الحالية أنه تم استخدام ملف .ppam في هجوم ببرنامج الفدية في أكتوبر 2021.

خارج تحسين إجراءات وضع الحماية وتصفية جميع التنزيلات من خلال وضع الحماية قبل فتحها على النظام المستهدف ، يوصي الباحثون بأن يقوم موظفو الشركة دائمًا بالاتصال بمتخصصي تكنولوجيا المعلومات عندما يواجهون امتداد ملف غير مألوف لأول مرة.