Новый троянец запускается при наведении на ссылку Powerpoint

Похоже, что хакеры нашли новый способ распространения вредоносного ПО на компьютерах с Windows. Новое вредоносное ПО будет установлено на вашем компьютере, даже если вы просто наведите указатель мыши на ссылку на презентацию PowerPoint. Для активации этой вредоносной программы не требуется макросов, Visual Basic или Javascript.

Данный файл представляет собой файл презентации Powerpoint, который потенциальные жертвы получают в виде вложенного файла в письмах. Строка темы обычно содержит следующие строки: «RE: Заказы на покупку № 69812» или «Fwd: Подтверждение». Имя файла: orderprsn.ppsx »,« order.ppsx »или« invoice.ppsx ». Зараженный файл также может быть упакован в файл .zip.

Этот метод использовался в спам-кампаниях для того, чтобы установить бэкдор банковского мошенничества, также известный как Gootkit, Zusy или Otlard. Инструмент PowerShell запускается, когда цель наводит курсор на встроенную гиперссылку в прикрепленном файле Powerpoint и устанавливает вредоносное ПО. Пользователи, использующие более новые версии Microsoft Office (2010 и выше), должны получить предупреждение из-за функции защищенного просмотра (рисунок ниже). Защищенный просмотр — это режим только для чтения, в котором большинство функций редактирования отключены.

силовая установка

Источник изображения: Microsoft

Спам-кампании со злонамеренным содержимым могут быстро распространяться, но на данный момент показатель успеха для этой техники наведения пока неизвестен. Если бы только половина процентов пользователей Интернета активировали эту вредоносную программу, это представляло бы огромную угрозу безопасности для многих организаций и отдельных пользователей. особенно если эти пользователи используют более старые версии Microsoft Office.

Чтобы избежать заражения этим вредоносным ПО, Microsoft предлагает использовать защищенный просмотр, который должен быть включен по умолчанию, особенно для файлов, загружаемых из Интернета.

Ссылка на основную публикацию