Užpuolikai dažnai ieško pažeidžiamumų, per kuriuos jie gali išnaudoti aparatą ir įdiegti kenkėjiškas programas. Šį kartą užpuolikai pasinaudoja „Windows Object Linking Embedding“ (OLE) pažeidžiamumu per „Microsoft PowerPoint“.

Kaip rašoma saugos firmos „Trend Micro“ pranešime, labiausiai paplitęs sąsajos tipas, naudojamas pažeidžiamumui išnaudoti, yra „Rich Text File“ naudojimas. Visa tai daroma dėvint „PowerPoint“ skaidrių demonstravimo kaukę. Tačiau modus operandi yra gana tipiškas, siunčiamas el. Laiškas su priedu. El. Laiško turinys paruošiamas tokiu būdu, kad sulaukia greito gavėjo dėmesio ir padidina atsakymo tikimybę.

Matyt, pridedamas dokumentas yra PPSX failas, kuris yra failo formatas, susietas su „PowerPoint“. Šis formatas siūlo tik skaidrių atkūrimą, tačiau redagavimo parinktys yra užrakintos. Jei failas bus atidarytas, jame bus pateiktas tik tekstas „ CVE-2017-8570“. (Kitas Microsoft Office pažeidžiamumas.) “.

Faktiškai atidarius failą bus pasinaudota kita pažeidžiamumu, pavadinimu CVE-2017-0199, ir tada jis bus iškeltas iš kenksmingo kodo per „PowerPoint“ animaciją. Galų gale bus atsisiųstas failas, vadinamas logo.doc. Dokumentą sudaro XML failas su „JavaScript“ kodu, kuris naudojamas paleisti „PowerShell“ komandą ir atsisiųsti kenkėjišką programą, vadinamą „RATMAN.exe“. kuris yra nuotolinės prieigos Trojos arklys, vadinamas.

Trojos arklys gali įrašyti klavišų paspaudimus, fiksuoti ekrano kopijas, įrašyti vaizdo įrašus ir atsisiųsti kitą kenkėjišką programą. Iš esmės užpuolikas visiškai kontroliuoja jūsų kompiuterį ir tiesiogine prasme gali padaryti didelę žalą pavogdamas visą jūsų informaciją, įskaitant banko slaptažodžius. „PowerPoint“ failo naudojimas yra protingas pojūtis, nes antivirusinis variklis ieškos RTF failo.

Visa tai pasakyta ir padaryta, „Microsoft“ jau pataisė pažeidžiamumą balandžio mėn., Ir tai yra viena iš priežasčių, kodėl žmonėms siūlome nuolat atnaujinti savo kompiuterį. Kitas esminis patarimas yra vengti atsisiųsti priedus iš nežinomų šaltinių, tiesiog nedarykite to.