Malware w prezentacji PowerPointa. Wystarczy najechać kursorem na link

W sieci zidentyfikowane zostało nowe zagrożenie, którym jest nietypowa prezentacja z PowerPointa. Składa się tylko z dwóch slajdów, a komputer użytkownika zostaje zainfekowany po najechaniu kursorem na link. Zagrożeniem jest malware Graphite powiązany z grupą "Fancy Bear", która według USA jest wspierana przez rosyjski wywiad.

Szczegóły przedstawił Sekurak, bazując na materiałach grupy Cluster25, która jest odpowiedzialna za odkrycie. Co interesujące, prezentacja wykorzystuje szablon Organizacji Współpracy Gospodarczej i Rozwoju, a obydwa jej slajdy są takie same, lecz sporządzone w innych językach.

Z analizy wynika, że złośliwy kod może faktycznie zostać uruchomiony po samym najechaniu kursorem na link, a nie dopiero po uruchomieniu makr - do czego w przypadku ataków przez Office'a zdążyliśmy się przyzwyczaić. Najechanie myszą na hiperłącze wyzwala szereg operacji zapisanych w skrypcie PowerShella (po szczegóły techniczne odsyłamy do źródłowej analizy), w wyniku czego docelowo na komputerze ofiary znajdzie się zainfekowane oprogramowanie.

Zainstalowany w ten sposób Graphite otwiera atakującym drogę do dalszego infekowania komputera ofiary. Grupa Cluster25 podaje, że program alokuje sobie kawałek pamięci, w której działa i wykonuje otrzymywane skrypty, uruchamiając na te potrzeby nowe wątki. W praktyce mowa więc po prostu o zdalnym wykonywaniu kodu.