Вредоносная программа загружает троян, если навести указатель мыши на гиперссылку в PowerPoint

Теперь нельзя не только кликать, но даже наводить курсор на подозрительные элементы.



Спамеры тестируют новый способ обмана жертв для установки вредоносного ПО, которое загружается после того, как пользователь наводит курсор на ссылку в слайд-шоу PowerPoint.

Новый метод заражения добавляет еще один совет к предыдущим — не нажимать на ссылки из подозрительных источников, чтобы не подвергаться риску из-за вредоносных программ на основе макросов Office, которые реинкарнировались в 2015 году.

Недавно BleepingComputer обнаружили вариант вредоносного ПО для Office, который не требует макросов, а скорее злоупотребляет способом обработки слайдов PowerPoint для установки вредоносного ПО. Если получатель открывает файл PowerPoint и наводит на гиперссылку в документе, он запускает команду PowerShell, которая подключается к вредоносному домену и загружает вредоносные файлы.

Вредоносная программа доставляется со спамом, притворяясь счетом-фактурой или заказом на поставку. Вложенные файлы — это версия слайдов Microsoft PowerPoint с открытым исходным кодом (PPSX), которые доступны только для просмотра и не могут быть отредактированы, как обычные PPT или PPTX-файлы.

В приведенных примерах PPSX отображается гиперссылка с текстом «Загрузка… Подождите».

При наведении на нее курсора, будет автоматически загружаться вредоносное ПО, если не включен режим Office Protected View. К счастью, Protected View включен по умолчанию в Office 2010, и в этом случае Office отображает предупреждение о безопасности, которое блокирует загрузку.

Файл PowerPoint загружает банковский троян Gootkit или Otlard. SentinalOne называет вредоносное ПО Zusy.

В конце мая Trend Micro обнаружила спам-кампанию с вредоносными файлами PowerPoint, нацеленую на организации в Великобритании, Польше, Нидерландах и Швеции. Банда злоумышленников, рассылающая данный спам, ранее уже использовала макросы для доставки различных полезных нагрузок.

Текущая кампания не была широко распространена, но исследователи из Trend Micro полагали, что это «старт для будущих кампаний», которые будут включать программу-вымогатель.
«В то время как такие функции, как макросы, OLE и элементы mouseover используют для легитимных целей, эти методы являются мощным оружием в руках злоумышленников.

Социально созданное письмо и функция, активирующаяся по наведению мыши, а возможно, и клик — все это ведет к заражению жертвы», пишет Trend Micro.
 

Подпишитесь на нашу еженедельную новостную рассылку!

Все наши новости вы получите по электронной почте раз в неделю, а Ваши личные данные останутся в безопасности. При необходимости вы сможете отписаться от рассылки в любой момент и в один клик.

Электронная почта

Имя пользователя

  • admin,
  • 190
  • 0