מתקפת דיוג חדשה משתמשת לרעה בקובצי PowerPoint כדי להפיץ תוכנה זדונית
שחקני איומים מצאו דרך נוספת לחדור למערכות מטרה ולהפיץ תוכנות זדוניות. במסע פרסום חדש שאחריו עוקבים חוקרי אבטחה, שחקנים רעים משתמשים בפורמט קובץ PowerPoint לא ידוע כדי להפיץ תוכנות זדוניות ולהשתלט על מערכות הקורבנות.
סוג קובץ פחות מוכר המשמש לעטיפת תוכנות זדוניות
התקיפות עוקבות אחר החברה שהיא חלק מחברת האבטחה צ'ק פוינט תוכנה. בקמפיין החדש הזה, שחקני איומים משתמשים בפורמט קובץ השייך לקבוצת ההרחבות ש-Microsoft PowerPoint עובד ונפתח, אבל כזה שלא נעשה בו שימוש לעתים קרובות במיוחד.
ההתקפות משתמשות בקבצי .ppam - פורמט קובץ תוספת למצגות PowerPoint. סוג הקובץ כולל פקודות ופקודות מאקרו נוספות שלא נמצאו בסוגי קבצי PowerPoint אחרים.
חוקרים עוקבים אחר התקפות קבצי PowerPoint מאז ינואר 2022. השחקנים הרעים משתמשים בקבצי .ppam כדי לעטוף קובצי הפעלה ששימשו להשתלט על מערכות. הקבצים מופצים באמצעות מיילים פישינג עם טקסט הקשור להזמנת רכש מזויפת ובקשה מהקורבן להגיב עם חשבונית.
לקובץ ההפעלה הזדוני העטוף בתוך קובץ ה-.ppam יש את היכולת לכתוב ערכי רישום של Windows ולהשיג התמדה תוך ניטור זיכרון המערכת של הקורבן. סוג הקובץ המוכר מעט אומר שהעומס הכלול בקובץ .ppam יכול להתחמק מאמצעי אבטחה במערכת היעד.
קבצי .PPAM יכולים לספק תוכנת כופר
חוקרי אבטחה תיארו את הסכנה שמציבה סוג קובץ בשימוש פחות תכוף. על ידי עטיפה של המטען הזדוני בתוך קובץ שלא נסרק בדרך כלל באמצעי אבטחה אוטומטיים, שחקנים גרועים יכולים לספק כל מטען הפעלה שהם רוצים, כולל תוכנות כופר . למעשה, החוקרים שעוקבים אחר הקמפיין הנוכחי הזכירו כי נעשה שימוש בקובץ .ppam במתקפת כופר עוד באוקטובר 2021.
מלבד שיפור אמצעי ארגז חול וסינון כל ההורדות דרך ארגז חול לפני פתיחתן במערכת היעד, החוקרים ממליצים לצוות החברה ליצור קשר תמיד עם מומחי IT כאשר הם נתקלים בסיומת קובץ לא מוכרת בפעם הראשונה.