Как открытие зараженного файла PowerPoint помогает хакерам проникнуть на ваш компьютер?

Уязвимость удаленного выполнения кода в Microsoft Office (CVE-2017-0199) находится в компоненте связывания и внедрения объектов Windows (OLE), поэтому исправление было выпущено в апреле этого года. Но опасности все же могут проявляться и по-другому.

Исследователи кибербезопасности компании Trend Micro обнаружили новую вредоносную кампанию, использующую ту же уязвимость, но впервые она скрыта за файлом PowerPoint (PPSX).

По мнению этих исследователей, атака начнется с поддельного вложения к электронному письму от провайдера кабельного телевидения и в основном будет нацелена на компании, занимающиеся производством электроники. Исследователи полагают, что в этом типе атаки используется адрес отправителя, замаскированный под настоящее электронное письмо от отдела продаж.

Как атаковать через файлы PowerPoint

Шаг 1. Во вложении электронного письма содержится зараженный файл PowerPoint (PPSX), который якобы содержит информацию о доставке заказа.

Поддельное электронное письмо с информацией о заказах.

Шаг 2. После выполнения файл PPSX вызовет предварительно запрограммированный XML-файл, чтобы загрузить файл logo.doc с удаленного адреса и запустить его с помощью функции PowerPoint Show.

Шаг 3. Файл logo.doc будет использовать уязвимость CVE-2017-0199, загружая и запуская RATMAN.exe в целевой системе.

Шаг 4. RATMAN.exe — это троянская версия инструмента Remcos Remote Control, установка которой позволит злоумышленникам управлять зараженным компьютером с удаленного командного сервера.

Remcos изначально был легальным инструментом, но хакеры создали версию трояна.

Remcos — это легальный настраиваемый инструмент удаленного доступа, который позволяет пользователям управлять своими системами из любой точки мира с определенными возможностями, такими как загрузка, выполнение командной строки и запись активности на рабочем столе, запись с клавиатуры, экрана и веб-камеры, а также микрофон.

Поскольку уязвимость используется для извлечения зараженных файлов форматированного текста (RTF), большинство методов обнаружения CVE-2017-0199 ориентированы на RTF. Использование нового файла PPSX также позволяет злоумышленникам обходить средства обнаружения вирусов.

Самый простой способ защититься от атак такого типа — загрузить патч Microsoft, выпущенный в апреле, по этому адресу. https://portal.msrc.microsoft.com/en-US/eula