Microsoft PowerPoint используется для скачивания вредоносных приложений

Виталий Стриж, 22 августа 2017 в 06:34. 54

Уязвимость в интерфейсе Windows Object Linking Embedding (OLE) используется злоумышленниками посредством PowerPoint для установки вредоносных приложений. Компания Trend Micro утверждает, что уязвимость обычно используется посредством документов формата Rich Text File (RTF), но в данном случае в ход пошли слайды PowerPoint.

Всё по обыкновению начинается с фишинговых электронных писем. Вложенный файл якобы содержит информацию о поставке какого-то заказа. На самом деле это файл PPSX, который нужен для воспроизведения слайд-шоу в PowerPoint и не может быть отредактирован. Если получатель запустит его, будет показан текст CVE-2017-8570, это ссылка на уязвимость в Microsoft Office.

На самом деле используется уязвимость CVE-2017-0199, начинается заражение компьютера и вредоносный код запускается через анимацию PowerPoint. В итоге скачивается файл logo.doc. Документ представляет собой файл XML с кодом JavaScript, в PowerShell он запускает команду на скачивание программы RATMAN.exe, которая представляет собой троянскую версию инструмента удалённого доступа Remcos. После устанавливается связь с сервером.

Remcos может фиксировать нажатия клавиатуры, делать снимки экрана, записывать видео и аудио, скачивать другие вирусы. Хакер получает полный контроль над компьютером. Поскольку метод обнаружения CVE-2017-0199 сосредоточен на файлах RTF, файлы PowerPoint позволяют избегать внимания антивирусов.

Microsoft закрыла эту уязвимость в апреле, так что обновлённые компьютеры защищены.

Источник

Публикации по теме
В работе Google произошел сбой, жалобы поступают от пользователей по всему миру 02 апреля 2020, 19:42 В работе Google произошел сбой, жалобы поступают от пользователей по всему миру

От интернет-пользователей начали поступать массовые жалобы на неполадки сервисов Google.Портал Downdetector сообщил, что такие проблемы начали с 18:37 среды по времени Восточного побережья США. Чаще всего о неполадках сообщают жители США, но также жалобы поступают с Бразилии, Индии, Японии, России и других...

Дурову дали два месяца на изменение решения о ликвидации Telegram 02 апреля 2020, 17:42

Если в течение указанного срока предприниматель-программист не трансформирует аккаунт разработчика мессенджера, то компания вместе с собственностью перейдет британской короне.Павлу Дурову дали два месяца на изменение решения о ликвидации Telegram Messenger LLP, поскольку в декабре прошлого года владелец...

Дурову дали два месяца на изменение решения о ликвидации Telegram
В России создадут копию соцсети LinkedIn 02 апреля 2020, 15:33 В России создадут копию соцсети LinkedIn

Проект реализуют в рамках выполнения программы «Цифровая экономика».В РФ создадут копию соцсети LinkedIn на базе ресурса «Работа России», причем реализация задуманного начнется уже в 2019 году. Аналитики критически относятся к данному проекту. Нужно создать гарантии для соискателей и работодателей, а...