A támadók gyakran olyan biztonsági réseket keresnek, amelyek révén kihasználhatják a gépet és telepíthetnek rosszindulatú programokat. Ezúttal a Windows objektum összekötő beágyazódás (OLE) sebezhetőségét a Microsoft PowerPointon keresztül a támadók kihasználják.

A Trend Micro biztonsági cég jelentése szerint a sérülékenység kiaknázására leggyakrabban használt felület a Rich Text File használata. Mindezt a PowerPoint diavetítések maszkolásával viseljük. A modus operandi azonban elég tipikus, egy e-mailt küld a melléklettel együtt. Az e-mail tartalmát oly módon készítik el, hogy az azonnal megkapja a címzett figyelmét és maximalizálja a válaszadás esélyét.

Nyilvánvaló, hogy a csatolt dokumentum egy PPSX fájl, amely a PowerPoint fájlhoz társított fájlformátum. Ez a formátum csak a diák lejátszását kínálja, de a szerkesztési lehetőségek ki vannak zárva. A fájl megnyitása esetén csak a következő szöveget jeleníti meg: ' CVE-2017-8570. (Egy másik biztonsági rés a Microsoft Office számára.) ”.

A valóságban a fájl megnyitása kihasználja egy másik CVE-2017-0199 nevű biztonsági rés kihasználását, majd a PowerPoint animációk segítségével letölti a rosszindulatú kódot. Végül letöltésre kerül egy logo.doc nevû fájl. A dokumentum egy XML fájlból áll, JavaScript kóddal, amelyet a PowerShell parancs futtatásához és a 'RATMAN.exe nevű rosszindulatú program letöltéséhez használnak. amely egy távoli hozzáférésű trójai, amelyre hivatkozunk.

A trójai rögzíthet billentyűleütéseket, képernyőképeket rögzíthet, videókat rögzíthet, és egyéb malware programokat is letölthet. Lényegében a támadó teljes mértékben irányítja a számítógépet, és szó szerint súlyos károkat okozhat, ha ellopja az összes információt, beleértve a banki jelszavakat is. A PowerPoint fájl használata okos megoldás, mivel az antivírus motor RTF fájlt fog keresni.

Mindent elmondva, a Microsoft már áprilisban javította a biztonsági rést, és ez az egyik oka annak, hogy azt javasoljuk az embereknek, hogy tartsák naprakészen a PC-jüket. Egy újabb lényeges tipp az, hogy kerüljük a mellékletek letöltését ismeretlen forrásokból, csak ne csináljuk.