Przejdź na

PowerPoint i atak z makrami. Tak można pobrać m.in. infostealery

Obsługa makr w dokumentach pakietu Office bywa do dziś problematyczna, czego dowodem jest wykryta niedawno luka w programie PowerPoint. W wyniku phishingu użytkownik może pobrać zainfekowany plik z prezentacją, w którym makra prowadzą do instalacji szkodliwego oprogramowania.

PowerPoint w Windows 11PowerPoint w Windows 11
Źródło zdjęć: © dobreprogramy | Oskar Ziomek
Oskar Ziomek
Oskar Ziomek

Problem opisuje Bleeping Computer, powołując się na uzyskane informacje od Netskope’s Threat Labs. Jak deklarują analitycy, od grudnia ubiegłego roku atakujący prowadzą kampanie, w ramach których udostępniją zainfekowane pliki z prezentacjami. Wykorzystano tu mechanizm makr, tworząc trudne do wykrycia instrukcje uruchamiające skrypt VBS.

Inicjuje on szereg działań zmierzających do przejęcia danych ofiary, co rozpoczyna manipulacja wpisami w rejestrze, wyłączenie Defendera oraz pobranie szkodliwego oprogramowania z sieci. Docelowo w komputerze instalowane są między innymi infostealery oraz oprogramowanie z rodziny RAT czy AgentTesla.

Kolejne fazy uruchamiania szkodliwego skryptu VBS.
Kolejne fazy uruchamiania szkodliwego skryptu VBS. © Bleeping Computer, Netskope

Jak wynika z analizy, w tym przypadku wykorzystywane są szkodliwe pakiety oprogramowania przechowywane na serwerach znanych dostawców. Od strony technicznej problem może nie zostać szybko rozwiązany, bo kłopotem jest dobre maskowanie kodu w makrach umieszczanych w prezentacjach. Nie jest to jednak pierwsza sytuacja, w której opisujemy tego typu atak.

By bronić się przed podobnymi zagrożeniami, należy wdrożyć wszelkie zasady bezpieczeństwa dotyczące phishingu. Ignorując je, można bowiem najłatwiej trafić na zainfekowane pliki. Przeglądając pocztę e-mail, należy więc ze zdwojoną ostrożnością podchodzić do wszelkich załączników (w tym przypadku plików PowerPointa) i weryfikować wiarygodność nadawcy wiadomości.

Uwaga na infostealery. Kradną loginy, hasła i dane kart płatniczych
Uwaga na infostealery. Kradną loginy, hasła i dane kart płatniczych

Warto zwrócić uwagę, że popularniejsze są ataki wykorzystujące obsługę makr w Excelu, najpewniej przez popularność tego oprogramowania w firmach i masowe atakowanie pracowników. W tym kontekście Microsoft sam świadomy jest zagrożenia i wprowadził domyślne blokowanie makr Excela 4.0. Jest to jednak stosunkowo świeża zmiana i nie wyklucza prób atakowania komputerów innymi drogami w ramach Office'a.

Wybrane dla Ciebie
Nowość w mObywatelu. Pobierz aktualizację
Nowość w mObywatelu. Pobierz aktualizację
WhatsApp testuje nowość. "Zajrzy" do wszystkich rozmów
WhatsApp testuje nowość. "Zajrzy" do wszystkich rozmów
Potężne narzędzie. ChatGPT wygeneruje jeszcze lepsze grafiki
Potężne narzędzie. ChatGPT wygeneruje jeszcze lepsze grafiki
Wiadomości od "kuriera DPD" i fałszywa prośba o dopłatę
Wiadomości od "kuriera DPD" i fałszywa prośba o dopłatę
200 tys. plików w darknecie. Wyciek z Uniwersytetu Warszawskiego niepokoi
200 tys. plików w darknecie. Wyciek z Uniwersytetu Warszawskiego niepokoi
Fala fałszywych e-maili. "Potwierdzenie zwrotu podatku"
Fala fałszywych e-maili. "Potwierdzenie zwrotu podatku"
Uważaj na takie połączenia. Nie są przypadkowe
Uważaj na takie połączenia. Nie są przypadkowe
BMW sięga po AI. Wykorzystają je przy bateriach
BMW sięga po AI. Wykorzystają je przy bateriach
Microsoft zmienił zdanie? Tłumaczy, kiedy warto zastąpić Defendera
Microsoft zmienił zdanie? Tłumaczy, kiedy warto zastąpić Defendera
Walka z botami. Tinder i Zoom wprowadzają skan tęczówki
Walka z botami. Tinder i Zoom wprowadzają skan tęczówki
Rusza WhatsApp Plus. Płatna wersja z dodatkowymi opcjami
Rusza WhatsApp Plus. Płatna wersja z dodatkowymi opcjami
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
ZATRZYMAJ SIĘ NA CHWILĘ… TE ARTYKUŁY WARTO PRZECZYTAĆ 👀