Malware w prezentacji PowerPointa. Wystarczy najechać kursorem na link

Malware w prezentacji PowerPointa. Wystarczy najechać kursorem na link04.10.2022 14:25
PowerPoint
PowerPoint
Źródło zdjęć: © GETTY | SOPA Images

W sieci zidentyfikowane zostało nowe zagrożenie, którym jest nietypowa prezentacja z PowerPointa. Składa się tylko z dwóch slajdów, a komputer użytkownika zostaje zainfekowany po najechaniu kursorem na link. Zagrożeniem jest malware Graphite powiązany z grupą "Fancy Bear", która według USA jest wspierana przez rosyjski wywiad.

Szczegóły przedstawił Sekurak, bazując na materiałach grupy Cluster25, która jest odpowiedzialna za odkrycie. Co interesujące, prezentacja wykorzystuje szablon Organizacji Współpracy Gospodarczej i Rozwoju, a obydwa jej slajdy są takie same, lecz sporządzone w innych językach.

Z analizy wynika, że złośliwy kod może faktycznie zostać uruchomiony po samym najechaniu kursorem na link, a nie dopiero po uruchomieniu makr - do czego w przypadku ataków przez Office'a zdążyliśmy się przyzwyczaić. Najechanie myszą na hiperłącze wyzwala szereg operacji zapisanych w skrypcie PowerShella (po szczegóły techniczne odsyłamy do źródłowej analizy), w wyniku czego docelowo na komputerze ofiary znajdzie się zainfekowane oprogramowanie.

Slajd zainfekowanej prezentacji
Źródło zdjęć: © Cluster25
Slajd zainfekowanej prezentacji

Zainstalowany w ten sposób Graphite otwiera atakującym drogę do dalszego infekowania komputera ofiary. Grupa Cluster25 podaje, że program alokuje sobie kawałek pamięci, w której działa i wykonuje otrzymywane skrypty, uruchamiając na te potrzeby nowe wątki. W praktyce mowa więc po prostu o zdalnym wykonywaniu kodu.

Oskar Ziomek, redaktor prowadzący dobreprogramy.pl

Programy

Aktualizacje
Aktualizacje
Nowości
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (25)