Nowy atak phishingowy wykorzystuje pliki PowerPoint do rozpowszechniania złośliwego oprogramowania
Zagrożenia wymyśliły jeszcze inny sposób na infiltrację systemów docelowych i rozprzestrzenianie złośliwego oprogramowania. W nowej kampanii, która jest śledzona przez badaczy bezpieczeństwa, złoczyńcy wykorzystują mało znany format plików PowerPointa do rozprzestrzeniania złośliwego oprogramowania i przejmowania systemów ofiar.
Mniej znany typ pliku używany do pakowania złośliwego oprogramowania
Ataki są śledzone przez firmę, która jest częścią firmy zajmującej się bezpieczeństwem Check Point Software. W tej nowej kampanii cyberprzestępcy używają formatu pliku, który należy do grupy rozszerzeń, z którymi współpracuje Microsoft PowerPoint i które otwiera, ale który nie jest używany zbyt często.
Ataki wykorzystują pliki .ppam - dodatkowy format plików do prezentacji PowerPoint. Typ pliku zawiera dodatkowe polecenia i makra, których nie można znaleźć w innych typach plików programu PowerPoint.
Badacze śledzą ataki na pliki PowerPoint od stycznia 2022 r. Źli aktorzy używają plików .ppam do opakowywania plików wykonywalnych używanych do przejmowania systemów. Pliki są rozpowszechniane za pomocą wiadomości phishingowych zawierających tekst dotyczący fałszywego zamówienia oraz prośbę do ofiary o przesłanie faktury.
Złośliwy plik wykonywalny umieszczony w pliku .ppam ma możliwość zapisywania wartości rejestru Windows i uzyskania trwałości podczas monitorowania pamięci systemu ofiary. Mało znany typ pliku oznacza, że ładunek zawarty w pliku .ppam może uniknąć środków bezpieczeństwa w systemie docelowym.
Pliki .PPAM mogą dostarczać ransomware
Badacze bezpieczeństwa wskazali na niebezpieczeństwo, jakie stwarza rzadziej używany typ pliku. Umieszczając złośliwy ładunek w pliku, który zwykle nie jest skanowany za pomocą automatycznych środków bezpieczeństwa, złoczyńcy mogą dostarczyć dowolny wykonywalny ładunek, jakiego pragną, w tym oprogramowanie ransomware. W rzeczywistości badacze śledzący obecną kampanię wspomnieli, że plik .ppam został użyty w ataku ransomware w październiku 2021 roku.
Poza ulepszaniem środków piaskownicy i filtrowaniem wszystkich pobrań przez piaskownicę przed otwarciem ich w systemie docelowym, badacze zalecają, aby pracownicy firmy zawsze kontaktowali się ze specjalistami IT, gdy po raz pierwszy napotkają nieznane rozszerzenie pliku.