Uusi tietojenkalasteluhyökkäys käyttää PowerPoint-tiedostoja väärin levittääkseen haittaohjelmia

Uhkatoimijat ovat keksineet vielä yhden tavan tunkeutua kohdejärjestelmiin ja levittää haittaohjelmia. Uudessa kampanjassa, jota tietoturvatutkijat seuraavat, huonot toimijat käyttävät vähän tunnettua PowerPoint-tiedostomuotoa haittaohjelmien levittämiseen ja uhrien järjestelmien hallintaan.

Vähemmän tunnettu tiedostotyyppi, jota käytetään haittaohjelmien käärimiseen

Hyökkäyksiä seuraa tietoturvayhtiö Check Point Softwareen kuuluva yritys. Uhkatoimijat käyttävät tässä uudessa kampanjassa tiedostomuotoa, joka kuuluu Microsoft PowerPointin käyttämien ja avaavien laajennusten ryhmään, mutta jota ei käytetä kovin usein.

Hyökkäyksissä käytetään .ppam-tiedostoja, jotka ovat PowerPoint-esityksien lisätiedostomuoto. Tiedostotyyppi sisältää lisäkomentoja ja makroja, joita ei löydy muista PowerPoint-tiedostotyypeistä.

Tutkijat ovat seuranneet PowerPoint-tiedostohyökkäyksiä tammikuusta 2022 lähtien. Huonot toimijat käyttävät .ppam-tiedostoja kääriäkseen suoritettavat tiedostot, joita käytetään järjestelmien hallintaan. Tiedostoja levitetään tietojenkalasteluviesteillä , joissa on väärennettyyn ostotilaukseen liittyvää tekstiä ja uhria pyydetään vastaamaan laskulla.

Haitallinen suoritettava tiedosto, joka on kääritty .ppam-tiedoston sisään, pystyy kirjoittamaan Windowsin rekisteriarvoja ja saavuttamaan pysyvyyden samalla kun valvotaan uhrin järjestelmän muistia. Vähän tunnettu tiedostotyyppi tarkoittaa, että .ppam-tiedoston sisällä oleva hyötykuorma voi väistää kohdejärjestelmän turvatoimia.

.PPAM-tiedostot voivat toimittaa kiristyshaittaohjelmia

Tietoturvatutkijat hahmottelivat harvemmin käytetyn tiedostotyypin aiheuttaman vaaran. Käärimällä haitallisen hyötykuorman tiedoston sisään, jota automaattiset suojatoimenpiteet eivät yleensä tarkista, huonot toimijat voivat toimittaa haluamansa suoritettavan hyötykuorman, mukaan lukien kiristysohjelmat . Itse asiassa nykyistä kampanjaa seuraavat tutkijat mainitsivat, että .ppam-tiedostoa käytettiin kiristysohjelmahyökkäyksessä lokakuussa 2021.

Sen lisäksi, että parannetaan hiekkalaatikkotoimenpiteitä ja suodatetaan kaikki lataukset hiekkalaatikon läpi ennen niiden avaamista kohdejärjestelmässä, tutkijat suosittelevat, että yrityksen henkilökunta ottavat aina yhteyttä IT-asiantuntijoihin, kun he kohtaavat ensimmäisen kerran tuntemattoman tiedostotunnisteen.