Novo Ataque de Phishing Abusa de Arquivos do PowerPoint para Espalhar Malware
Os agentes de ameaças criaram mais uma maneira de se infiltrar nos sistemas visados e espalhar malware. Em uma nova campanha que está sendo rastreada pelos pesquisadores de segurança, autores mal-intencionados estão usando um formato de arquivo PowerPoint pouco conhecido para espalhar malware e dominar os sistemas das vítimas.
O Tipo de Arquivo Pouco Conhecido Usado para Encapsular Malware
Os ataques estão sendo rastreados por uma empresa que faz parte da empresa de segurança Check Point Software. Nessa nova campanha, os agentes de ameaças usam um formato de arquivo que pertence ao grupo de extensões com as quais o Microsoft PowerPoint trabalha e abre, mas que não é usado com muita frequência.
Os ataques usam arquivos .ppam - um formato de arquivo adicional para apresentações no PowerPoint. O tipo de arquivo inclui comandos e macros adicionais não encontrados em outros tipos de arquivo do PowerPoint.
Os pesquisadores estão rastreando os ataques dos arquivos do PowerPoint desde janeiro de 2022. Os maus autores estão usando os arquivos .ppam para encapsular os executáveis usados para assumir o controle dos sistemas. Os arquivos estão sendo espalhados por e-mails de phishing com texto relacionado a um pedido de compra falso e um pedido para que a vítima responda com uma fatura.
O arquivo executável malicioso encapsulado dentro do arquivo .ppam tem a capacidade de gravar valores do Registro do Windows e obter persistência, enquanto monitora a memória do sistema da vítima. O tipo de arquivo pouco conhecido significa que a carga contida no arquivo .ppam pode evitar medidas de segurança no sistema visado.
Os Arquivos .PPAM podem Entregar Ransomware
Os pesquisadores de segurança destacaram o perigo que um tipo de arquivo usado com menos frequência representa. Ao envolver a carga maliciosa em um arquivo que geralmente não é verificado por medidas de segurança automatizadas, os agentes mal-intencionados podem entregar qualquer carga executável que desejarem, incluindo ransomware. De fato, os pesquisadores que acompanham a campanha atual mencionaram que um arquivo .ppam foi usado em um ataque de ransomware em outubro de 2021.
Além de melhorar as medidas de sandboxing e filtrar todos os downloads por meio de um sandbox antes de abri-los no sistema visado, os pesquisadores recomendam que a equipe da empresa sempre entre em contato com especialistas de TI quando encontrar uma extensão de arquivo desconhecida pela primeira vez.