Il nuovo attacco di phishing abusa dei file PowerPoint per diffondere malware
Gli attori delle minacce hanno escogitato un altro modo per infiltrarsi nei sistemi di destinazione e diffondere malware. In una nuova campagna monitorata dai ricercatori della sicurezza, i malintenzionati stanno utilizzando un formato di file PowerPoint poco noto per diffondere malware e impossessarsi dei sistemi delle vittime.
Tipo di file meno noto utilizzato per avvolgere il malware
Gli attacchi sono monitorati da una società che fa parte della società di sicurezza Check Point Software. In questa nuova campagna, gli attori delle minacce utilizzano un formato di file che appartiene al gruppo di estensioni con cui Microsoft PowerPoint lavora e apre, ma che non viene utilizzato molto spesso.
Gli attacchi utilizzano file .ppam, un formato di file aggiuntivo per le presentazioni PowerPoint. Il tipo di file include comandi e macro aggiuntivi non presenti in altri tipi di file PowerPoint.
I ricercatori stanno monitorando gli attacchi ai file PowerPoint da gennaio 2022. I malintenzionati stanno usando i file .ppam per avvolgere gli eseguibili usati per prendere il controllo dei sistemi. I file vengono diffusi tramite e-mail di phishing con testo relativo a un ordine di acquisto falso e una richiesta per la vittima di rispondere con una fattura.
Il file eseguibile dannoso racchiuso nel file .ppam ha la capacità di scrivere i valori del registro di Windows e ottenere la persistenza monitorando la memoria del sistema vittima. Il tipo di file poco noto significa che il carico utile contenuto nel file .ppam può eludere le misure di sicurezza sul sistema di destinazione.
I file .PPAM potrebbero fornire ransomware
I ricercatori di sicurezza hanno delineato il pericolo rappresentato da un tipo di file utilizzato meno frequentemente. Avvolgendo il payload dannoso all'interno di un file che di solito non viene scansionato da misure di sicurezza automatizzate, i malintenzionati possono fornire qualsiasi payload eseguibile che desiderano, incluso il ransomware. In effetti, i ricercatori che hanno monitorato l'attuale campagna hanno affermato che un file .ppam è stato utilizzato in un attacco ransomware nell'ottobre 2021.
Oltre a migliorare le misure di sandbox e filtrare tutti i download tramite una sandbox prima di aprirli sul sistema di destinazione, i ricercatori raccomandano che il personale dell'azienda contatti sempre gli specialisti IT quando incontra per la prima volta un'estensione di file sconosciuta.