Nytt phishing-angrep misbruker PowerPoint-filer for å spre skadelig programvare
Trusselaktører har kommet opp med enda en måte å infiltrere målsystemer og spre skadelig programvare. I en ny kampanje som spores av sikkerhetsforskere, bruker dårlige aktører et lite kjent PowerPoint-filformat for å spre skadelig programvare og overta ofrenes systemer.
Mindre kjent filtype som brukes til å pakke inn skadelig programvare
Angrepene spores av et selskap som er en del av sikkerhetsfirmaet Check Point Software. I denne nye kampanjen bruker trusselaktører et filformat som tilhører gruppen av utvidelser Microsoft PowerPoint jobber med og åpner, men som ikke brukes så ofte.
Angrepene bruker .ppam-filer – et tilleggsfilformat for PowerPoint-presentasjoner. Filtypen inkluderer tilleggskommandoer og makroer som ikke finnes i andre PowerPoint-filtyper.
Forskere har sporet PowerPoint-filangrepene siden januar 2022. De dårlige aktørene bruker .ppam-filene til å pakke inn kjørbare filer som brukes til å overta systemer. Filene spres ved hjelp av phishing -e-poster med tekst relatert til en falsk kjøpsordre og en forespørsel om at offeret svarer med en faktura.
Den ondsinnede kjørbare filen pakket inne i .ppam-filen har muligheten til å skrive Windows-registerverdier og oppnå utholdenhet mens du overvåker offersystemets minne. Den lite kjente filtypen betyr at nyttelasten inne i .ppam-filen kan unngå sikkerhetstiltak på målsystemet.
.PPAM-filer kan levere løsepengeprogramvare
Sikkerhetsforskere skisserte faren som en mindre hyppig brukt filtype utgjør. Ved å pakke den ondsinnede nyttelasten inn i en fil som vanligvis ikke skannes av automatiserte sikkerhetstiltak, kan dårlige aktører levere hvilken som helst kjørbar nyttelast de ønsker, inkludert løsepengeprogramvare . Faktisk nevnte forskerne som sporer den nåværende kampanjen at en .ppam-fil ble brukt i et løsepengeangrep tilbake i oktober 2021.
Utenom å forbedre sandboxing-tiltak og filtrere alle nedlastinger gjennom en sandbox før de åpnes på målsystemet, anbefaler forskere at selskapets ansatte alltid kontakter IT-spesialister når de møter en ukjent filtype for første gang.