Microsoft PowerPoint используется для скачивания вредоносных приложений

Виталий Стриж, 22 августа 2017 в 06:34. 36

Уязвимость в интерфейсе Windows Object Linking Embedding (OLE) используется злоумышленниками посредством PowerPoint для установки вредоносных приложений. Компания Trend Micro утверждает, что уязвимость обычно используется посредством документов формата Rich Text File (RTF), но в данном случае в ход пошли слайды PowerPoint.

Всё по обыкновению начинается с фишинговых электронных писем. Вложенный файл якобы содержит информацию о поставке какого-то заказа. На самом деле это файл PPSX, который нужен для воспроизведения слайд-шоу в PowerPoint и не может быть отредактирован. Если получатель запустит его, будет показан текст CVE-2017-8570, это ссылка на уязвимость в Microsoft Office.

На самом деле используется уязвимость CVE-2017-0199, начинается заражение компьютера и вредоносный код запускается через анимацию PowerPoint. В итоге скачивается файл logo.doc. Документ представляет собой файл XML с кодом JavaScript, в PowerShell он запускает команду на скачивание программы RATMAN.exe, которая представляет собой троянскую версию инструмента удалённого доступа Remcos. После устанавливается связь с сервером.

Remcos может фиксировать нажатия клавиатуры, делать снимки экрана, записывать видео и аудио, скачивать другие вирусы. Хакер получает полный контроль над компьютером. Поскольку метод обнаружения CVE-2017-0199 сосредоточен на файлах RTF, файлы PowerPoint позволяют избегать внимания антивирусов.

Microsoft закрыла эту уязвимость в апреле, так что обновлённые компьютеры защищены.

Источник

Публикации по теме
Новости OSZone – всё 29 октября 2017, 14:26 Новости OSZone – всё

На сайте OSZone больше не будут публиковаться новости Microsoft, IT и железа. С февраля 2007 года у нас вышло почти 20 тысяч новостей по этим темам, и я хочу поблагодарить всех авторов, более 10 лет наполнявших ресурс свежими материалами. Отдельное огромное спасибо Алексею Алтухову, опубликовавшему свыше 10 тысяч...

В канале «Ранний доступ» появилась сборка Windows 10 17017 14 октября 2017, 10:15

В пятницу компания Microsoft выпустила не только кумулятивное обновление для финальной версии Windows 10 Fall Creators Update, но и очередную предварительную сборку для всех инсайдеров в канале «Ранний доступ». Раньше здесь было разделение между сборками Redstone 3 и Redstone 4 при выборе опции Skip ahead, но теперь этого...

В канале «Ранний доступ» появилась сборка Windows 10 17017
Выпущено обновление Windows 10 16299.19 14 октября 2017, 09:05 Выпущено обновление Windows 10 16299.19

Три дня осталось до начала распространения обновления Windows 10 Fall Creators Update среди всех пользователей этой операционной системы. В преддверии этого события компания Microsoft выпустила очередное кумулятивное обновление, которое пришло на смену вышедшему 11 дней назад обновлению 16299.15.Новая сборка получила...