Ne malofte ciberkrimuloj liveras malware por haki komputilojn per speciale kreitaj dosieroj de Microsoft Office, precipe Word-dokumentoj, ligitaj al spam-retpoŝtoj. Ĉi tiuj atakoj kutime dependas de socia inĝenierado por trompi la celatan uzanton en ebligi VBA-makroojn enmetitajn en la dokumento.
Sed nun, nova socia inĝeniera atako estis malkovrita, kiu ne postulas uzantojn ebligi makroojn. Esploristoj de Sekureca firmao SentinelOne ĵus malkovris, ke grupo de retpiratoj uzas PowerShell komandas enigita en a PowerPoint (PPT) dosiero ekzekuti malware sur laŭcela sistemo, sen postuli Makroojn, Ĝavoskripton aŭ VBA-makroojn.
Tiuj malicaj PowerPoint-dosieroj distribuas malware nomatan "Zusy," banka trojano, kiu celas financajn retejojn. Ĉi tiuj dosieroj, nomataj "order.ppsx" aŭ "invoice.ppsx", estis distribuitaj per spam-retpoŝtoj kun titoloj kiel "Aĉetordo # 130527" kaj "Konfirmo."
Cetere, la malica PowerShell-kodo kaŝita ene de la dokumento ekas tuj kiam la viktimo movas / ŝvebas muson super ligon, kiu elŝutas plian utilan ŝarĝon sur la maŝino de la viktimo - eĉ sen alklaki ĝin.
Kiam la malica PowerPoint-dosiero estas malfermita, ĝi montras ekranon kun sola ligilo, kiu diras "Ŝarĝante ... Bonvolu atendi":
Kiam uzanto ŝovas la muson super la ligon - eĉ sen alklaki ĝin, ĝi kaŭzas ke PowerPoint aŭtomate plenumas la kodon PowerShell, eksteran programon. Tamen la kodo ne ruliĝas aŭtomate tuj kiam la dosiero estas malfermita. La sekureca funkcio Protektita Vido, kiu aperas defaŭlte en plej subtenataj versioj de Office, inkluzive de Office 2013 kaj Office 2010, montras severan averton kaj instigas ilin ebligi aŭ malŝalti la enhavon.
Se la uzanto neglektas ĉi tiun averton kaj permesas vidi la enhavon, la kodo PowerShell estas plenumita kaj domajno nomata "cccn.nl" estas kontaktita. Dosiero estas elŝutita de ĉi tiu regado kaj efektivigita, kiu eventuale respondecas pri la liverado de nova varianto de la banka trojano nomata Zusy, Tinba kaj Tiny Banker.
La sekurecaj esploristoj ankaŭ atentigis, ke kvankam la atako ne funkcias se la malica prezento estas malfermita per PowerPoint Viewer, kaj plej multaj versioj de Office avertas la uzanton antaŭ ol la kodo estas ekzekutita, la metodo tamen povus esti efika en iuj kazoj.
"Uzantoj eble iel ebligas eksterajn programojn, ĉar ili pigras, rapidas aŭ kutimas nur bloki makroojn. Ankaŭ iuj agordoj eble pli permesas ekzekuti eksterajn programojn ol kun makrooj ", SentinelOne Labs diris en blog.
