नया फ़िशिंग हमला मैलवेयर फैलाने के लिए PowerPoint फ़ाइलों का दुरुपयोग करता है
टारगेट सिस्टम में घुसपैठ करने और मैलवेयर फैलाने के लिए थ्रेट एक्टर्स एक और तरीका लेकर आए हैं। सुरक्षा शोधकर्ताओं द्वारा ट्रैक किए जा रहे एक नए अभियान में, बुरे अभिनेता मैलवेयर फैलाने और पीड़ितों के सिस्टम पर कब्जा करने के लिए एक अल्पज्ञात पावरपॉइंट फ़ाइल प्रारूप का उपयोग कर रहे हैं।
कम-ज्ञात फ़ाइल प्रकार मैलवेयर को लपेटने के लिए प्रयुक्त होता है
हमलों को एक कंपनी द्वारा ट्रैक किया जा रहा है जो सुरक्षा फर्म चेक प्वाइंट सॉफ्टवेयर का हिस्सा है। इस नए अभियान में, धमकी देने वाले अभिनेता एक फ़ाइल प्रारूप का उपयोग करते हैं, जो Microsoft PowerPoint के साथ काम करने वाले और खुलने वाले एक्सटेंशन के समूह से संबंधित है, लेकिन एक ऐसा फ़ाइल स्वरूप है जिसका उपयोग अक्सर नहीं किया जाता है।
हमले .ppam फ़ाइलों का उपयोग करते हैं - PowerPoint प्रस्तुतियों के लिए एक ऐड-इन फ़ाइल स्वरूप। फ़ाइल प्रकार में अतिरिक्त कमांड और मैक्रोज़ शामिल हैं जो अन्य PowerPoint फ़ाइल प्रकारों में नहीं मिलते हैं।
शोधकर्ता जनवरी 2022 से पावरपॉइंट फ़ाइल हमलों पर नज़र रख रहे हैं। खराब अभिनेता सिस्टम को संभालने के लिए उपयोग किए जाने वाले निष्पादन योग्य को लपेटने के लिए .ppam फ़ाइलों का उपयोग कर रहे हैं। नकली खरीद आदेश से संबंधित पाठ के साथ फ़िशिंग ईमेल का उपयोग करके फ़ाइलें फैलाई जा रही हैं और पीड़ित को चालान के साथ जवाब देने का अनुरोध किया जा रहा है।
.ppam फ़ाइल के अंदर लिपटे दुर्भावनापूर्ण निष्पादन योग्य फ़ाइल में Windows रजिस्ट्री मान लिखने और पीड़ित सिस्टम की स्मृति की निगरानी करते समय दृढ़ता प्राप्त करने की क्षमता होती है। अल्पज्ञात फ़ाइल प्रकार का अर्थ है कि .ppam फ़ाइल के अंदर निहित पेलोड लक्ष्य प्रणाली पर सुरक्षा उपायों को चकमा दे सकता है।
.PPAM फ़ाइलें रैंसमवेयर वितरित कर सकती हैं
सुरक्षा शोधकर्ताओं ने उस खतरे को रेखांकित किया जो कम बार उपयोग की जाने वाली फ़ाइल प्रकार बन गया है। दुर्भावनापूर्ण पेलोड को एक फ़ाइल के अंदर लपेटकर जिसे आमतौर पर स्वचालित सुरक्षा उपायों द्वारा स्कैन नहीं किया जाता है, खराब अभिनेता रैंसमवेयर सहित किसी भी निष्पादन योग्य पेलोड को वितरित कर सकते हैं। वास्तव में, वर्तमान अभियान पर नज़र रखने वाले शोधकर्ताओं ने उल्लेख किया कि अक्टूबर 2021 में रैंसमवेयर हमले में एक .ppam फ़ाइल का उपयोग किया गया था।
सैंडबॉक्सिंग उपायों में सुधार करने और सभी डाउनलोड को लक्ष्य प्रणाली पर खोलने से पहले सैंडबॉक्स के माध्यम से फ़िल्टर करने के अलावा, शोधकर्ताओं का सुझाव है कि कंपनी के कर्मचारी हमेशा आईटी विशेषज्ञों से संपर्क करते हैं जब उन्हें पहली बार किसी अपरिचित फ़ाइल एक्सटेंशन का सामना करना पड़ता है।