Według Trend Micro cyberprzestępcy wykorzystują lukę w zabezpieczeniach CVE-2017-0199 do przenoszenia złośliwego malware poprzez program PowerPoint Slide Show Microsoftu. Hakerzy wykorzystywali już wcześniej dokumenty RTF wraz z luką w mechanizmie OLE celem dostarczania malware, takiego jak na przykład trojan DRIDEX (bankowy trojan podszywający się pod dokument Worda).

Ta sama metoda jest teraz wykorzystywana poprzez program PowerPoint Slide Show, który to wykorzystywany jest do stworzenia pliku załącznika .ppsx, który to załącznik zostaje dołączony do phishing’owej wiadomości email. Jak to często w takich sytuacjach bywa eksperci od cyberbezpieczeństwa uważają, że hakerzy wykorzystali tę lukę w zabezpieczeniach pakietu Microsoft Office, prawdopodobnie z powodu błędu popełnionego przez programistę.

Z technicznego punktu widzenia nieświadomy niczego użytkownik otrzymuje maila z załącznikiem w postaci pliku .ppsx. Złośliwy kod TROJ_CVE20170199.JVU ściąga z kolei z sieci plik logo.doc z serwera C&C (zlokalizowanego o dziwo w Polsce). Jak pokazuje Wireshark, plik ten w rzeczywistości nie jest plikiem Worda, lecz plikiem XML zawierającym złośliwy kod napisany w JavaScript. Kod zaś inicjuje ściąganie i wykonywanie na komputerze odbiorcy kodu pliku wykonywalnego RATMAN.EXE. Dzięki tej sztuczce napastnicy uzyskują pełny dostęp do komputera ofiary.
Schemat rozprzestrzeniania się malware poprzez PowerPoint SlideShow

Schemat rozprzestrzeniania się malware poprzez PowerPoint SlideShow

Firma Trend Micro zwróciła uwagę na konieczność bieżącego aktualizowania oprogramowania i zachowania szczególnej ostrożności podczas otwierania dokumentów za pośrednictwem poczty elektronicznej lub klikania w rozmaite linki.

Ja mówią analitycy ds. bezpieczeństwa Trend Micro:

Użytkownicy powinni zawsze aktualizować swoje systemy. Biorąc pod uwagę fakt, że firma Microsoft poprawiła omawianą lukę w kwietniu, użytkownicy z zaktualizowanymi systemami są bezpieczni przed tymi atakami.

Źródło: Trend Micro. Foto: stockvault.net