新的网络钓鱼攻击滥用 PowerPoint 文件传播恶意软件

威胁参与者想出了另一种渗透目标系统和传播恶意软件的方法。在安全研究人员正在追踪的一项新活动中，不良行为者正在使用一种鲜为人知的 PowerPoint 文件格式来传播恶意软件并接管受害者的系统。

用于包装恶意软件的鲜为人知的文件类型

安全公司 Check Point Software 旗下的一家公司正在跟踪这些攻击。在这个新的活动中，威胁参与者使用的文件格式属于 Microsoft PowerPoint 使用和打开的扩展组，但不经常使用。

攻击使用 .ppam 文件 - 一种用于 PowerPoint 演示文稿的插件文件格式。文件类型包括其他 PowerPoint 文件类型中没有的附加命令和宏。

自 2022 年 1 月以来，研究人员一直在跟踪 PowerPoint 文件攻击。不良行为者正在使用 .ppam 文件来包装用于接管系统的可执行文件。这些文件正在使用网络钓鱼电子邮件传播，其中包含与虚假采购订单相关的文本，并要求受害者用发票做出回应。

包裹在 .ppam 文件中的恶意可执行文件能够写入 Windows 注册表值并实现持久性，同时监控受害系统的内存。鲜为人知的文件类型意味着 .ppam 文件中包含的有效负载可以避开目标系统上的安全措施。

.PPAM 文件可以传播勒索软件

安全研究人员概述了不太常用的文件类型所带来的危险。通过将恶意负载包装在通常不会被自动安全措施扫描的文件中，不良行为者可以提供他们想要的任何可执行负载，包括勒索软件。事实上，追踪当前活动的研究人员提到，一个 .ppam 文件早在 2021 年 10 月就被用于勒索软件攻击。

除了改进沙盒措施和在目标系统上打开之前通过沙盒过滤所有下载内容之外，研究人员建议公司员工在第一次遇到不熟悉的文件扩展名时始终联系 IT 专家。