Yeni Kimlik Avı Saldırısı Kötü Amaçlı Yazılımları Yaymak için PowerPoint Dosyalarını Kötüye Kullanıyor

Tehdit aktörleri, hedef sistemlere sızmanın ve kötü amaçlı yazılımları yaymanın başka bir yolunu buldu. Güvenlik araştırmacıları tarafından izlenen yeni bir kampanyada, kötü niyetli kişiler, kötü amaçlı yazılımları yaymak ve kurbanların sistemlerini ele geçirmek için az bilinen bir PowerPoint dosya biçimini kullanıyor.

Kötü Amaçlı Yazılımları Sarmak için Kullanılan Daha Az Bilinen Dosya Türü

Saldırılar, güvenlik firması Check Point Software'in bir parçası olan bir şirket tarafından takip ediliyor. Bu yeni kampanyada, tehdit aktörleri, Microsoft PowerPoint'in birlikte çalıştığı ve açtığı uzantı grubuna ait, ancak çok sık kullanılmayan bir dosya biçimi kullanıyor.

Saldırılar, PowerPoint sunumları için bir eklenti dosya biçimi olan .ppam dosyalarını kullanır. Dosya türü, diğer PowerPoint dosya türlerinde bulunmayan ek komutlar ve makrolar içerir.

Araştırmacılar, Ocak 2022'den beri PowerPoint dosya saldırılarını izliyorlar. Kötü niyetli kişiler, sistemleri ele geçirmek için kullanılan yürütülebilir dosyaları sarmak için .ppam dosyalarını kullanıyor. Dosyalar, sahte bir satın alma siparişiyle ve kurbanın bir faturayla yanıt vermesi talebiyle ilgili metin içeren kimlik avı e-postaları kullanılarak yayılıyor.

.ppam dosyasının içine sarılmış kötü amaçlı yürütülebilir dosya, Windows kayıt defteri değerlerini yazma ve kurban sistemin belleğini izlerken kalıcılık sağlama yeteneğine sahiptir. Az bilinen dosya türü, .ppam dosyasının içerdiği yükün hedef sistemdeki güvenlik önlemlerini atlatabileceği anlamına gelir.

.PPAM Dosyaları Fidye Yazılımı Sunabilir

Güvenlik araştırmacıları, daha az kullanılan bir dosya türünün oluşturduğu tehlikeyi özetledi. Kötü niyetli kişiler, genellikle otomatik güvenlik önlemleri tarafından taranmayan bir dosyanın içine kötü amaçlı yükü sararak, fidye yazılımı da dahil olmak üzere istedikleri herhangi bir yürütülebilir yükü teslim edebilir. Aslında, mevcut kampanyayı izleyen araştırmacılar, Ekim 2021'de bir fidye yazılımı saldırısında bir .ppam dosyasının kullanıldığını belirtti.

Araştırmacılar, korumalı alan önlemlerini iyileştirmenin ve tüm indirmeleri hedef sistemde açmadan önce bir korumalı alan aracılığıyla filtrelemenin dışında, şirket personelinin tanıdık olmayan bir dosya uzantısıyla ilk kez karşılaştıklarında her zaman BT uzmanlarıyla iletişim kurmasını önerir.