اسلایدهای پاورپوینت؛ عاملی برای اجرای نرم‌افزارهای مخرب

به گزارش کارگروه امنیت سایبربان؛ در ماه آوریل مایکروسافت آسیب‌پذیری CVE-2017-0199 را در Office پس از تهدیدهایی که هکرها از آن به‌طور بی‌رحمانه استفاده می‌کردند، کشف کرد. هکرها با استفاده از اسناد Rich Text File (RTF)، سوءاستفاده از یک نقص در رابط Object Linking and Embedding (OLE) را برای ارائه نرم‌افزارهای مخرب مانند Trojan بانکداری DRIDEX انجام دادند. کارشناسان موسسه ترند میکرو معتقدند همان نقص برای ارائه نرم‌افزارهای مخرب از طریق نمایش اسلاید پاورپوینت مورد سوءاستفاده قرار می‌گیرد.
اسناد به‌عنوان‌ یک پیوست همراه با فایل‌های فیشینگ که وانمود می‌کند توسط یک شریک تجاری ارسال و تحویل داده می‌شود، این پیام الزاماً درخواستی است که شامل سایر اسناد تجاری نمی‌شود، بلکه یک اسلاید پاورپوینت مخرب پرونده (PPSX) است که از آسیب‌پذیری CVE-2017-8570 استفاده می‌کند؛ کارشناسان معتقدند که مهاجمان از این آسیب‌پذیری مایکروسافت آفیس برای اجرایی شدن این حمله استفاده می‌کنند.
پس از اجرای فایل و راه‌اندازی اسلایدهای پاورپوینت و نمایش انیمیشن‌ها، یک فایل به نام logo.doc بارگذاری می‌شود.
جاوا اسکریپت یک دستور PowerShell برای دانلود و اجرای RATMAN.EXE از سرور و C & C را اجرا می‌کند. این فایل یک نسخه Trojanized ابزار قانونی REMCOS از راه دور (RAT) است.
با این ترفند مهاجمان دسترسی کامل به رایانه قربانی را پیدا می‌کنند. Trend Micro اشاره کرد که اهمیت حفظ به‌روزرسانی نرم‌افزارها و احتیاط بیشتر هنگام باز کردن اسناد ارائه‌شده از طریق ایمیل اسپم و یا کلیک بر لینک تعبیه‌شده است. ضمناً این ابزار با استفاده از یک محافظ ناشناس دات نت جهت جلوگیری از تشخیص استفاده می‌کند.