Распространение различной малвари с помощью вредоносных файлов Office (чаще всего их роль играют документы Word) – это давно проверенная злоумышленниками тактика. Как правило, такие атаки включают в себя элемент социальной инженерии и используют макросы VBA в документе.
Теперь независимый эксперт Рубен Дэниел Додж (Ruben Daniel Dodge), а также специалисты компании SentinelOne, предупреждают о появлении новой техники атак, которая использует файлы PowerPoint и выглядит опаснее уже привычных уловок с макросами.
Исследователи сообщают, что вредоносные файлы распространяются через спамерские письма с темами вида RE:Purchase orders #69812 или Fwd:Confirmation. Внутри таких посланий можно обнаружить вложения с именами order&prsn.ppsx, order.ppsx и invoice.ppsx. Иногда файлы бывают запакованы в ZIP-архивы.
Файл вредоносной презентации содержит всего один слайд, и его можно увидеть на иллюстрации ниже. Надпись, которая также является ссылкой, гласит: «Загрузка... Пожалуйста, подождите».
Так как никакой загрузки, разумеется, не происходит, пользователь наверняка захочет если не кликнуть по ссылке, то хотя бы навести на нее курсор, а это спровоцирует попытку выполнения кода PowerShell. Если у жертвы при этом включена защитная функция Protected View, активная в большинстве поддерживаемых версий Office, система предупредит пользователя об опасности и остановит атаку.
Однако если Protected View не работает, или пользователь решил пренебречь предупреждением, вредоносный PowerShell сработает, что приведет к загрузке на компьютер файла c.php с домена cccn.nl. Эксперты пишут, что согласно их анализу, таким методом распространяются новые версии банковского трояна, известного под названиями Zusy, Tinba или Tiny Banker.