Novi napad z lažnim predstavljanjem zlorablja datoteke PowerPoint za širjenje zlonamerne programske opreme

Udeleženci grožnje so izumili še en način za infiltriranje ciljnih sistemov in širjenje zlonamerne programske opreme. V novi kampanji, ki jo spremljajo varnostni raziskovalci, slabi akterji uporabljajo malo znano obliko datoteke PowerPoint za širjenje zlonamerne programske opreme in prevzem sistemov žrtev.

Manj znana vrsta datoteke, ki se uporablja za ovijanje zlonamerne programske opreme

Napade spremlja podjetje, ki je del varnostnega podjetja Check Point Software. V tej novi kampanji akterji groženj uporabljajo format datoteke, ki spada v skupino razširitev, s katerimi deluje in odpira Microsoft PowerPoint, vendar se ne uporablja zelo pogosto.

Napadi uporabljajo datoteke .ppam – obliko datoteke dodatka za PowerPointove predstavitve. Vrsta datoteke vključuje dodatne ukaze in makre, ki jih ni mogoče najti v drugih vrstah datotek PowerPoint.

Raziskovalci spremljajo napade na datoteke PowerPoint od januarja 2022. Slabi akterji uporabljajo datoteke .ppam za ovijanje izvedljivih datotek, ki se uporabljajo za prevzem sistemov. Datoteke se širijo z lažnimi e-poštnimi sporočili z besedilom, povezanim s ponarejenim naročilom, in zahtevo, da žrtev odgovori z računom.

Zlonamerna izvedljiva datoteka, zavita v datoteko .ppam, ima možnost zapisovanja vrednosti registra Windows in doseganja obstojnosti ob spremljanju pomnilnika sistema žrtve. Malo znana vrsta datoteke pomeni, da se lahko koristna obremenitev v datoteki .ppam izogne varnostnim ukrepom v ciljnem sistemu.

Datoteke .PPAM bi lahko prinesle izsiljevalsko programsko opremo

Varnostni raziskovalci so opisali nevarnost, ki jo predstavlja manj pogosto uporabljena vrsta datoteke. Z ovijanjem zlonamernega tovora v datoteko, ki je običajno ne pregledajo avtomatizirani varnostni ukrepi, lahko slabi akterji dostavijo poljubno izvedljivo koristno obremenitev, vključno z izsiljevalsko programsko opremo . Pravzaprav so raziskovalci, ki so spremljali trenutno kampanjo, omenili, da je bila datoteka .ppam uporabljena pri napadu ransomware oktobra 2021.

Poleg izboljšanja ukrepov peskovnika in filtriranja vseh prenosov skozi peskovnik, preden jih odprejo v ciljnem sistemu, raziskovalci priporočajo, da osebje podjetja vedno stopi v stik s strokovnjaki za IT, ko prvič naletijo na neznano razširitev datoteke.