研究人員發(fā)現(xiàn)，攻擊者正在使用不為人知的PowerPoint文件隱藏惡意可執(zhí)行文件，這些可執(zhí)行文件可以重寫Windows注冊(cè)表設(shè)置以接管最終用戶的計(jì)算機(jī)。

這是威脅行為者最近通過他們?nèi)粘Ｊ褂玫氖苄湃螒?yīng)用程序，使用旨在逃避安全檢測(cè)并看似合法的電子郵件，以秘密方式攻擊桌面用戶的眾多方式之一。

Check Point公司Avanan的一項(xiàng)新研究揭示了PowerPoint中一個(gè)“鮮為人知的插件”——.ppam文件——是如何被用來隱藏惡意軟件的。Avanan的網(wǎng)絡(luò)安全研究員兼分析師Jeremy Fuchs在周四發(fā)布的一份報(bào)告中寫道，該文件具有獎(jiǎng)勵(lì)命令和自定義宏等功能。

從1月份開始，研究人員觀察到攻擊者會(huì)發(fā)送帶有惡意意圖的社會(huì)工程電子郵件，其中包含了.ppam文件附件。

電子郵件攻擊向量

例如，在活動(dòng)中觀察到的一封電子郵件據(jù)稱是向收件人發(fā)送采購(gòu)訂單。Fuchs說，附加的.ppam文件名為PO04012022，它看起來是合法的，并且其中包括一個(gè)惡意可執(zhí)行文件。

有效載荷在最終用戶的機(jī)器上執(zhí)行了許多未經(jīng)用戶授權(quán)的函數(shù)，包括安裝創(chuàng)建和打開新進(jìn)程的新程序、更改文件屬性以及動(dòng)態(tài)調(diào)用導(dǎo)入的函數(shù)。

Fuchs寫道：“通過將采購(gòu)訂單電子郵件的潛在緊迫性與危險(xiǎn)文件相結(jié)合，這種攻擊包含了一個(gè)可以摧毀最終用戶和公司的雙重打擊?！?/p>

他說，該活動(dòng)允許攻擊者使用一個(gè)不太常用的文件繞過計(jì)算機(jī)的現(xiàn)有安全性——在本例中是由谷歌提供的安全性——因此不會(huì)觸發(fā)電子郵件掃描儀。

“此外，它顯示了該文件的潛在危險(xiǎn)，因?yàn)樗捎糜诎b任何類型的惡意文件，包括勒索軟件，”Fuchs寫道。

事實(shí)上，在10月份，有報(bào)道稱攻擊者正在使用.ppam文件來包裝勒索軟件，他引用了網(wǎng)絡(luò)安全門戶網(wǎng)站PCrisk10月份發(fā)布的關(guān)于Ppam勒索軟件的報(bào)告如此說道。

針對(duì)桌面用戶

研究人員最近發(fā)現(xiàn)了幾個(gè)新的基于電子郵件的活動(dòng)之一，這些活動(dòng)針對(duì)的是使用Microsoft Office、Google Docs和Adobe Creative Cloud等常用文字處理和協(xié)作應(yīng)用程序的桌面用戶。攻擊者通常使用電子郵件傳送竊取用戶信息的惡意文件或鏈接。

去年11月，有報(bào)道稱騙子正在使用合法的Google Drive協(xié)作功能來誘騙用戶點(diǎn)擊電子郵件中的惡意鏈接或推送邀請(qǐng)他人共享Google文檔的通知。這些鏈接將用戶引導(dǎo)至竊取其憑據(jù)的網(wǎng)站。

隨后，Avanan研究人員在12月發(fā)現(xiàn)的一波網(wǎng)絡(luò)釣魚攻擊主要針對(duì)Outlook用戶，利用Google Docs的“評(píng)論”功能發(fā)送惡意鏈接，從而竊取受害者的憑據(jù)。

上個(gè)月，Avanan團(tuán)隊(duì)報(bào)告了研究人員在12月觀察到的另一個(gè)騙局，其中發(fā)現(xiàn)威脅行為者在Adobe Cloud套件中創(chuàng)建帳戶，并發(fā)送看似合法的圖像和PDF，但卻將惡意軟件傳遞給Office 365和Gmail用戶。

緩解和預(yù)防

為避免受到電子郵件詐騙的威脅，F(xiàn)uchs向安全管理員推薦了一些典型預(yù)防措施。

一種是安裝電子郵件保護(hù)，將所有文件下載到沙箱中并檢查它們是否存在惡意內(nèi)容。另一個(gè)方法是采取額外的安全措施——例如動(dòng)態(tài)分析電子郵件的危害指標(biāo)(IoC)——以確保進(jìn)入公司網(wǎng)絡(luò)的郵件的安全。

“這封電子郵件未通過SPF檢查，發(fā)件人的歷史聲譽(yù)微不足道，”Fuchs在談到Avanan研究人員觀察到的網(wǎng)絡(luò)釣魚郵件時(shí)寫道。SPF(Sender Policy Framework)是一種電子郵件身份驗(yàn)證技術(shù)，用于防止垃圾郵件發(fā)送者和其他不良行為者發(fā)送來自另一個(gè)域名的欺騙性郵件。

他補(bǔ)充說，公司還應(yīng)不斷鼓勵(lì)其網(wǎng)絡(luò)中的最終用戶，如果他們通過電子郵件收到不熟悉的文件，請(qǐng)聯(lián)系他們的IT部門。

本文翻譯自：https://threatpost.com/powerpoint-abused-take-over-computers/178182/如若轉(zhuǎn)載，請(qǐng)注明原文地址。