Atakujący często szukają luk, w których mogą wykorzystać maszynę i zainstalować złośliwe oprogramowanie. Tym razem atakujący wykorzystują lukę w zabezpieczeniach Windows Object Linking Embedding (OLE) za pośrednictwem Microsoft PowerPoint.

Zgodnie z raportem firmy Trend Micro zajmującej się bezpieczeństwem najczęstszym rodzajem interfejsu wykorzystywanym w celu wykorzystania tej luki jest użycie Rich Text File. Wszystko to odbywa się w maskaradzie pokazów slajdów PowerPoint. Sposób działania jest jednak dość typowy, wysyłany jest e-mail zawierający załącznik. Treść wiadomości e-mail jest przygotowywana w taki sposób, że zyskuje natychmiastową uwagę odbiorcy, a także maksymalizuje szanse na odpowiedź.

Najwyraźniej załączony dokument to plik PPSX, który jest formatem pliku powiązanym z programem PowerPoint. Ten format oferuje tylko odtwarzanie slajdu, ale opcje edycji są zablokowane. W przypadku otwarcia pliku wyświetli się następujący tekst: „ CVE-2017-8570. (Kolejna luka w zabezpieczeniach pakietu Microsoft Office.) ”.

W rzeczywistości otwarcie pliku wywoła exploita dla kolejnej luki o nazwie CVE-2017-0199, a następnie odciąży złośliwy kod za pomocą animacji PowerPoint. Ostatecznie plik o nazwie logo.doc zostanie pobrany. Dokument składa się z pliku XML z kodem JavaScript, który służy do uruchomienia polecenia PowerShell i pobrania szkodliwego programu o nazwie „RATMAN.exe”. który jest trojanem dostępu zdalnego, zwanym.

Trojan może rejestrować naciśnięcia klawiszy, przechwytywać zrzuty ekranu, nagrywać filmy, a także pobierać inne złośliwe oprogramowanie. Zasadniczo atakujący będzie miał pełną kontrolę nad komputerem i może dosłownie spowodować poważne szkody, kradnąc wszystkie informacje, w tym hasła bankowe. Wykorzystanie pliku PowerPoint jest sprytnym akcentem, ponieważ silnik antywirusowy będzie szukał pliku RTF.

Wszystko powiedziane i zrobione, Microsoft już załatał lukę w zabezpieczeniach już w kwietniu i jest to jeden z powodów, dla których sugerujemy ludziom aktualizowanie komputerów. Kolejną kwintesencją jest unikanie pobierania załączników z nieznanych źródeł, po prostu nie rób tego.