感染した PowerPoint ファイルを開くと、ハッカーがコンピュータに侵入するのにどのように役立ちますか?

Microsoft Office のリモート コード実行の脆弱性 (CVE-2017-0199) は Windows Object Linking and Embedding (OLE) に存在するため、今年 4 月にパッチがリリースされました。しかし、危険は別の形で現れる可能性もあります。

トレンドマイクロのサイバーセキュリティ研究者は、同じ脆弱性を利用した新たなマルウェア キャンペーンを発見しましたが、これが PowerPoint (PPSX) ファイルの背後に隠されたのは今回が初めてです。

これらの研究者らによると、攻撃はケーブルプロバイダーからの偽の電子メール添付ファイルから始まり、主に電子機器製造業界の企業を標的にするという。研究者らは、このタイプの攻撃では、営業部門からの本物の電子メールに偽装された送信者アドレスが使用されると考えています。

PowerPoint ファイルを介して攻撃する方法

ステップ 1 : 電子メールの添付ファイルには感染した PowerPoint ファイル (PPSX) が含まれており、注文に関する配送情報を提供するように見せかけます。

注文に関する情報を提供する内容の偽メール

ステップ 2 : 実行されると、PPSX ファイルはその中の事前にプログラムされた XML ファイルを呼び出し、リモート アドレスから logo.doc ファイルをダウンロードし、PowerPoint の表示機能を通じて実行します。

ステップ 3 : logo.doc ファイルは CVE-2017-0199 脆弱性を悪用し、ターゲット システム上で RATMAN.exe をダウンロードして実行します。

ステップ 4 : RATMAN.exe は Remcos Remote Control ツールのトロイの木馬バージョンであり、インストールされると、攻撃者がリモート C&C サーバーから感染したコンピュータを制御できるようになります。

Remcos はもともと正規のツールでしたが、ハッカーがトロイの木馬バージョンを作成しました

Remcos は、ローディング、コマンド ラインの実行、デスク アクティビティの記録、キーボード、画面、Web カメラの記録、マイクなどの特定の機能を使用して、ユーザーが世界中のどこからでもシステムを制御できる合法的なカスタマイズ可能なリモート アクセス ツールです。

この脆弱性は感染したリッチ テキスト ファイル (RTF) ファイルを取得するために使用されるため、CVE-2017-0199 を検出するほとんどの方法は RTF に焦点を当てています。新しい PPSX ファイルを使用すると、攻撃者がウイルス検出ツールをバイパスすることもできます。

この種の攻撃を防ぐ最も簡単な方法は、4 月にリリースされた Microsoft のパッチをこのアドレスからダウンロードすることです。https://portal.msrc.microsoft.com/en-US/eula