Hãy coi chừng! Đây Microsoft PowerPoint Hack Installs Malware mà không đòi hỏi Macros

Vô hiệu hoá các macro và luôn cẩn thận khi bạn bật nó trong khi mở các tài liệu Microsoft Office Word "

Bạn có thể đã nghe nói về cảnh báo bảo mật trên nhiều lần trên Internet vì các hacker thường sử dụng kỹ thuật hacking dựa trên macros dựa trên thập kỷ này để hack Máy tính thông qua các tệp Microsoft Office được làm đặc biệt, đặc biệt là Word, kèm theo email spam.

Tuy nhiên, một cuộc tấn công kỹ thuật xã hội mới đã được phát hiện trong tự nhiên, điều này không đòi hỏi người dùng phải bật macro ; Thay vào đó nó thực thi phần mềm độc hại trên một hệ thống được nhắm mục tiêu sử dụng các lệnh PowerShell được nhúng bên trong tệp PowerPoint (PPT).

Hơn nữa, mã độc hại của PowerShell ẩn bên trong tài liệu sẽ gây ra ngay khi nạn nhân di chuyển / di chuột qua một liên kết (như được hiển thị), tải xuống một tải trọng bổ sung trên máy bị xâm nhập - thậm chí không cần nhấp vào nó.

Các nhà nghiên cứu tại công ty Security SentinelOne đã phát hiện ra rằng một nhóm hacker đang sử dụng các tệp PowerPoint độc hại để phân phối 'Zusy', một Trojan ngân hàng, hay còn gọi là "Tinba" (Tiny Banker).

Được phát hiện vào năm 2012, Zusy là một trojan ngân hàng nhắm vào các trang web tài chính và có khả năng đánh hơi lưu lượng mạng và thực hiện các cuộc tấn công Man-in-The-Browser để đưa các mẫu bổ sung vào các trang web ngân hàng của legit, yêu cầu nạn nhân chia sẻ nhiều dữ liệu quan trọng hơn Như số thẻ tín dụng, TAN và thẻ xác thực.
"Một biến thể mới của một phần mềm độc hại được gọi là 'Zusy' đã được tìm thấy trong sự lây lan hoang dã như một tệp PowerPoint đính kèm với các email spam với các tiêu đề như 'Purchase Order # 130527' và 'Confirmation'. Thật thú vị vì nó không yêu cầu người sử dụng kích hoạt makro để thực hiện ", các nhà nghiên cứu tại SentinelOne Labs nói trong một bài đăng trên blog .
Các tệp PowerPoint đã được phân phối qua email spam với các chủ đề như "Purchase Order" và "Confirmation", khi mở, hiển thị văn bản "Loading ... Please Wait" làm một liên kết.
Microsoft-powerpoint-macros-malware
Khi người dùng di chuột qua liên kết, nó sẽ tự động kích hoạt mã PowerShell, nhưng tính năng bảo vệ Protected View được kích hoạt mặc định trong các phiên bản Office được hỗ trợ nhiều nhất, bao gồm Office 2013 và Office 2010 sẽ hiển thị một cảnh báo nghiêm trọng và nhắc họ Để kích hoạt hoặc vô hiệu hóa nội dung.

Nếu người dùng bỏ qua lời cảnh báo này và cho phép xem nội dung, chương trình độc hại sẽ kết nối với tên miền "cccn.nl", từ nơi nó tải xuống và thực hiện một tệp, cuối cùng sẽ chịu trách nhiệm phân phối một biến thể mới của Trojan ngân hàng gọi là Zusy.
SentinelOne Labs cho biết: "Người dùng vẫn có thể kích hoạt các chương trình bên ngoài bằng cách nào đó vì họ đang lười biếng, vội vàng hoặc chúng chỉ được sử dụng để chặn các macro. "Ngoài ra, một số cấu hình có thể được cho phép nhiều hơn trong việc thực hiện các chương trình bên ngoài hơn là với các macro."
Một nhà nghiên cứu bảo mật, Ruben Daniel Dodge, cũng đã phân tích cuộc tấn công mới này và khẳng định rằng cuộc tấn công mới được phát hiện này không dựa vào Macros, Javascript hoặc VBA để thực hiện phương pháp này.
Trong tài liệu định nghĩa của slide1 'rID2' được định nghĩa như là một siêu liên kết, nơi mà các mục tiêu được định nghĩa như là một liên kết, nó được thực hiện bởi một định nghĩa phần tử cho một hành động di chuột. Một lệnh của PowerShell ", Dodge nói.
Công ty bảo mật cũng nói rằng cuộc tấn công không hoạt động nếu tệp độc hại được mở trong PowerPoint Viewer, từ chối thực hiện chương trình. Tuy nhiên, kỹ thuật này vẫn có thể hiệu quả trong một số trường hợp.

Đăng nhận xét

Mới hơn Cũ hơn