研究人員發(fā)現，攻擊者正在使用不為人知的PowerPoint文件隱藏惡意可執(zhí)行文件，這些可執(zhí)行文件可以重寫Windows注冊表設置以接管最終用戶的計算機。

這是威脅行為者最近通過他們日常使用的受信任應用程序，使用旨在逃避安全檢測并看似合法的電子郵件，以秘密方式攻擊桌面用戶的眾多方式之一。

Check Point公司Avanan的一項新研究揭示了PowerPoint中一個“鮮為人知的插件”——.ppam文件——是如何被用來隱藏惡意軟件的。Avanan的網絡安全研究員兼分析師Jeremy Fuchs在周四發(fā)布的一份報告中寫道，該文件具有獎勵命令和自定義宏等功能。

從1月份開始，研究人員觀察到攻擊者會發(fā)送帶有惡意意圖的社會工程電子郵件，其中包含了.ppam文件附件。

電子郵件攻擊向量

例如，在活動中觀察到的一封電子郵件據稱是向收件人發(fā)送采購訂單。Fuchs說，附加的.ppam文件名為PO04012022，它看起來是合法的，并且其中包括一個惡意可執(zhí)行文件。

有效載荷在最終用戶的機器上執(zhí)行了許多未經用戶授權的函數，包括安裝創(chuàng)建和打開新進程的新程序、更改文件屬性以及動態(tài)調用導入的函數。

Fuchs寫道：“通過將采購訂單電子郵件的潛在緊迫性與危險文件相結合，這種攻擊包含了一個可以摧毀最終用戶和公司的雙重打擊?！?/p>

他說，該活動允許攻擊者使用一個不太常用的文件繞過計算機的現有安全性——在本例中是由谷歌提供的安全性——因此不會觸發(fā)電子郵件掃描儀。

“此外，它顯示了該文件的潛在危險，因為它可用于包裝任何類型的惡意文件，包括勒索軟件，”Fuchs寫道。

事實上，在10月份，有報道稱攻擊者正在使用.ppam文件來包裝勒索軟件，他引用了網絡安全門戶網站PCrisk10月份發(fā)布的關于Ppam勒索軟件的報告如此說道。

針對桌面用戶

研究人員最近發(fā)現了幾個新的基于電子郵件的活動之一，這些活動針對的是使用Microsoft Office、Google Docs和Adobe Creative Cloud等常用文字處理和協作應用程序的桌面用戶。攻擊者通常使用電子郵件傳送竊取用戶信息的惡意文件或鏈接。

去年11月，有報道稱騙子正在使用合法的Google Drive協作功能來誘騙用戶點擊電子郵件中的惡意鏈接或推送邀請他人共享Google文檔的通知。這些鏈接將用戶引導至竊取其憑據的網站。

隨后，Avanan研究人員在12月發(fā)現的一波網絡釣魚攻擊主要針對Outlook用戶，利用Google Docs的“評論”功能發(fā)送惡意鏈接，從而竊取受害者的憑據。

上個月，Avanan團隊報告了研究人員在12月觀察到的另一個騙局，其中發(fā)現威脅行為者在Adobe Cloud套件中創(chuàng)建帳戶，并發(fā)送看似合法的圖像和PDF，但卻將惡意軟件傳遞給Office 365和Gmail用戶。

緩解和預防

為避免受到電子郵件詐騙的威脅，Fuchs向安全管理員推薦了一些典型預防措施。

一種是安裝電子郵件保護，將所有文件下載到沙箱中并檢查它們是否存在惡意內容。另一個方法是采取額外的安全措施——例如動態(tài)分析電子郵件的危害指標(IoC)——以確保進入公司網絡的郵件的安全。

“這封電子郵件未通過SPF檢查，發(fā)件人的歷史聲譽微不足道，”Fuchs在談到Avanan研究人員觀察到的網絡釣魚郵件時寫道。SPF(Sender Policy Framework)是一種電子郵件身份驗證技術，用于防止垃圾郵件發(fā)送者和其他不良行為者發(fā)送來自另一個域名的欺騙性郵件。

他補充說，公司還應不斷鼓勵其網絡中的最終用戶，如果他們通過電子郵件收到不熟悉的文件，請聯系他們的IT部門。

本文翻譯自：https://threatpost.com/powerpoint-abused-take-over-computers/178182/如若轉載，請注明原文地址。