Nyt phishing-angreb misbruger PowerPoint-filer til at sprede malware
Trusselsaktører har fundet på endnu en måde at infiltrere målsystemer og sprede malware. I en ny kampagne, der spores af sikkerhedsforskere, bruger dårlige aktører et lidet kendt PowerPoint-filformat til at sprede malware og overtage ofrenes systemer.
Mindre kendt filtype, der bruges til at ombryde malware
Angrebene bliver sporet af et firma, der er en del af sikkerhedsfirmaet Check Point Software. I denne nye kampagne bruger trusselsaktører et filformat, der hører til gruppen af udvidelser, Microsoft PowerPoint arbejder med og åbner, men som ikke bliver brugt ret ofte.
Angrebene bruger .ppam-filer - et tilføjelsesfilformat til PowerPoint-præsentationer. Filtypen inkluderer yderligere kommandoer og makroer, der ikke findes i andre PowerPoint-filtyper.
Forskere har sporet PowerPoint-filangrebene siden januar 2022. De dårlige aktører bruger .ppam-filerne til at indpakke eksekverbare filer, der bruges til at overtage systemer. Filerne bliver spredt ved hjælp af phishing- e-mails med tekst relateret til en falsk købsordre og en anmodning om at ofret skal svare med en faktura.
Den ondsindede eksekverbare fil pakket inde i .ppam-filen har evnen til at skrive Windows-registreringsværdier og opnå vedholdenhed, mens den overvåger offersystemets hukommelse. Den lidet kendte filtype betyder, at nyttelasten indeholdt i .ppam-filen kan undvige sikkerhedsforanstaltninger på målsystemet.
.PPAM-filer kunne levere ransomware
Sikkerhedsforskere skitserede faren, som en mindre hyppigt brugt filtype udgør. Ved at pakke den ondsindede nyttelast ind i en fil, der normalt ikke scannes af automatiserede sikkerhedsforanstaltninger, kan dårlige aktører levere enhver eksekverbar nyttelast, de ønsker, inklusive ransomware. Faktisk nævnte forskerne, der sporer den aktuelle kampagne, at en .ppam-fil blev brugt i et ransomware-angreb tilbage i oktober 2021.
Ud over at forbedre sandboxing-foranstaltninger og filtrere alle downloads gennem en sandbox, før de åbnes på målsystemet, anbefaler forskere, at virksomhedens personale altid kontakter it-specialister, når de støder på en ukendt filtypenavn for første gang.