Новая фишинговая атака использует файлы PowerPoint для распространения вредоносного ПО

Злоумышленники придумали еще один способ проникновения в целевые системы и распространения вредоносных программ. В рамках новой кампании, которую отслеживают исследователи безопасности, злоумышленники используют малоизвестный формат файла PowerPoint для распространения вредоносных программ и захвата систем жертв.

Малоизвестный тип файла, используемый для переноса вредоносного ПО

Атаки отслеживает компания, входящая в состав охранной фирмы Check Point Software. В этой новой кампании злоумышленники используют формат файла, который принадлежит к группе расширений, с которыми работает и открывается Microsoft PowerPoint, но который используется не очень часто.

В атаках используются файлы .ppam — формат надстроек для презентаций PowerPoint. Тип файла включает дополнительные команды и макросы, которых нет в других типах файлов PowerPoint.

Исследователи отслеживают атаки файлов PowerPoint с января 2022 года. Злоумышленники используют файлы .ppam для упаковки исполняемых файлов, используемых для захвата систем. Файлы распространяются с помощью фишинговых писем с текстом, связанным с поддельным заказом на покупку, и просьбой к жертве ответить счетом.

Вредоносный исполняемый файл, завернутый в файл .ppam, может записывать значения реестра Windows и обеспечивать сохранение при мониторинге памяти системы-жертвы. Малоизвестный тип файла означает, что полезная нагрузка, содержащаяся в файле .ppam, может обойти меры безопасности в целевой системе.

Файлы .PPAM могут доставлять программы-вымогатели

Исследователи безопасности указали на опасность, которую представляют менее часто используемые типы файлов. Помещая вредоносную полезную нагрузку в файл, который обычно не сканируется автоматическими мерами безопасности, злоумышленники могут доставлять любую исполняемую полезную нагрузку по своему желанию, включая программы-вымогатели . Фактически, исследователи, отслеживающие текущую кампанию, упомянули, что файл .ppam использовался в атаке программы-вымогателя еще в октябре 2021 года.

Помимо улучшения мер по изолированию и фильтрации всех загрузок через песочницу перед их открытием в целевой системе, исследователи рекомендуют сотрудникам компании всегда связываться с ИТ-специалистами, когда они впервые сталкиваются с незнакомым расширением файла.