新的網絡釣魚攻擊濫用 PowerPoint 文件傳播惡意軟件

威脅參與者想出了另一種滲透目標系統和傳播惡意軟件的方法。在安全研究人員正在追踪的一項新活動中，不良行為者正在使用一種鮮為人知的 PowerPoint 文件格式來傳播惡意軟件並接管受害者的系統。

用於包裝惡意軟件的鮮為人知的文件類型

安全公司 Check Point Software 旗下的一家公司正在跟踪這些攻擊。在這個新的活動中，威脅參與者使用的文件格式屬於 Microsoft PowerPoint 使用和打開的擴展組，但不經常使用。

攻擊使用 .ppam 文件 - 一種用於 PowerPoint 演示文稿的插件文件格式。文件類型包括其他 PowerPoint 文件類型中沒有的附加命令和宏。

自 2022 年 1 月以來，研究人員一直在跟踪 PowerPoint 文件攻擊。不良行為者正在使用 .ppam 文件來包裝用於接管系統的可執行文件。這些文件正在使用網絡釣魚電子郵件傳播，其中包含與虛假採購訂單相關的文本，並要求受害者用發票做出回應。

包裹在 .ppam 文件中的惡意可執行文件能夠寫入 Windows 註冊表值並實現持久性，同時監控受害系統的內存。鮮為人知的文件類型意味著 .ppam 文件中包含的有效負載可以避開目標系統上的安全措施。

.PPAM 文件可以傳播勒索軟件

安全研究人員概述了不太常用的文件類型所帶來的危險。通過將惡意負載包裝在通常不會被自動安全措施掃描的文件中，不良行為者可以提供他們想要的任何可執行負載，包括勒索軟件。事實上，追踪當前活動的研究人員提到，一個 .ppam 文件早在 2021 年 10 月就被用於勒索軟件攻擊。

除了改進沙盒措施和在目標系統上打開之前通過沙盒過濾所有下載內容之外，研究人員建議公司員工在第一次遇到不熟悉的文件擴展名時始終聯繫 IT 專家。