Nieuwe phishing-aanval maakt misbruik van PowerPoint-bestanden om malware te verspreiden

Bedreigingsactoren hebben nog een andere manier bedacht om doelsystemen te infiltreren en malware te verspreiden. In een nieuwe campagne die wordt gevolgd door beveiligingsonderzoekers, gebruiken kwaadwillenden een weinig bekend PowerPoint-bestandsformaat om malware te verspreiden en de systemen van slachtoffers over te nemen.

Minder bekend bestandstype dat wordt gebruikt om malware te verpakken

De aanvallen worden gevolgd door een bedrijf dat onderdeel is van beveiligingsbedrijf Check Point Software. In deze nieuwe campagne gebruiken bedreigingsactoren een bestandsindeling die behoort tot de groep extensies waarmee Microsoft PowerPoint werkt en opent, maar een bestandsindeling die niet vaak wordt gebruikt.

De aanvallen gebruiken .ppam-bestanden - een add-in-bestandsindeling voor PowerPoint-presentaties. Het bestandstype bevat extra opdrachten en macro's die niet worden gevonden in andere PowerPoint-bestandstypen.

Onderzoekers volgen de aanvallen op PowerPoint-bestanden sinds januari 2022. De kwaadwillenden gebruiken de .ppam-bestanden om uitvoerbare bestanden in te pakken die worden gebruikt om systemen over te nemen. De bestanden worden verspreid via phishing -e-mails met tekst die betrekking heeft op een nep-aankooporder en een verzoek aan het slachtoffer om te reageren met een factuur.

Het schadelijke uitvoerbare bestand dat in het .ppam-bestand is verpakt, kan Windows-registerwaarden schrijven en persistentie bereiken terwijl het geheugen van het slachtoffersysteem wordt gecontroleerd. Het weinig bekende bestandstype betekent dat de payload in het .ppam-bestand beveiligingsmaatregelen op het doelsysteem kan omzeilen.

.PPAM-bestanden kunnen ransomware opleveren

Beveiligingsonderzoekers schetsten het gevaar dat een minder vaak gebruikt bestandstype met zich meebrengt. Door de kwaadaardige payload in een bestand te stoppen dat gewoonlijk niet wordt gescand door geautomatiseerde beveiligingsmaatregelen, kunnen kwaadwillenden elke gewenste uitvoerbare payload leveren, inclusief ransomware. De onderzoekers die de huidige campagne volgden, vermeldden zelfs dat een .ppam-bestand werd gebruikt bij een ransomware-aanval in oktober 2021.

Naast het verbeteren van sandboxing-maatregelen en het filteren van alle downloads via een sandbox voordat ze op het doelsysteem worden geopend, raden onderzoekers aan dat bedrijfspersoneel altijd contact opneemt met IT-specialisten wanneer ze voor het eerst een onbekende bestandsextensie tegenkomen.