PowerPoint i atak z makrami. Tak można pobrać m.in. infostealery

Strona głównaPowerPoint i atak z makrami. Tak można pobrać m.in. infostealery
25.01.2022 11:25
PowerPoint w Windows 11
PowerPoint w Windows 11
Źródło zdjęć: © dobreprogramy | Oskar Ziomek

Obsługa makr w dokumentach pakietu Office bywa do dziś problematyczna, czego dowodem jest wykryta niedawno luka w programie PowerPoint. W wyniku phishingu użytkownik może pobrać zainfekowany plik z prezentacją, w którym makra prowadzą do instalacji szkodliwego oprogramowania.

Problem opisuje Bleeping Computer, powołując się na uzyskane informacje od Netskope’s Threat Labs. Jak deklarują analitycy, od grudnia ubiegłego roku atakujący prowadzą kampanie, w ramach których udostępniją zainfekowane pliki z prezentacjami. Wykorzystano tu mechanizm makr, tworząc trudne do wykrycia instrukcje uruchamiające skrypt VBS.

Inicjuje on szereg działań zmierzających do przejęcia danych ofiary, co rozpoczyna manipulacja wpisami w rejestrze, wyłączenie Defendera oraz pobranie szkodliwego oprogramowania z sieci. Docelowo w komputerze instalowane są między innymi infostealery oraz oprogramowanie z rodziny RAT czy AgentTesla.

Kolejne fazy uruchamiania szkodliwego skryptu VBS.
Źródło zdjęć: © Bleeping Computer, Netskope
Kolejne fazy uruchamiania szkodliwego skryptu VBS.

Jak wynika z analizy, w tym przypadku wykorzystywane są szkodliwe pakiety oprogramowania przechowywane na serwerach znanych dostawców. Od strony technicznej problem może nie zostać szybko rozwiązany, bo kłopotem jest dobre maskowanie kodu w makrach umieszczanych w prezentacjach. Nie jest to jednak pierwsza sytuacja, w której opisujemy tego typu atak.

By bronić się przed podobnymi zagrożeniami, należy wdrożyć wszelkie zasady bezpieczeństwa dotyczące phishingu. Ignorując je, można bowiem najłatwiej trafić na zainfekowane pliki. Przeglądając pocztę e-mail, należy więc ze zdwojoną ostrożnością podchodzić do wszelkich załączników (w tym przypadku plików PowerPointa) i weryfikować wiarygodność nadawcy wiadomości.

Warto zwrócić uwagę, że popularniejsze są ataki wykorzystujące obsługę makr w Excelu, najpewniej przez popularność tego oprogramowania w firmach i masowe atakowanie pracowników. W tym kontekście Microsoft sam świadomy jest zagrożenia i wprowadził domyślne blokowanie makr Excela 4.0. Jest to jednak stosunkowo świeża zmiana i nie wyklucza prób atakowania komputerów innymi drogami w ramach Office'a.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
Wybrane dla Ciebie
Komentarze (13)