PowerPoint je ponovo popularan vektor isporuke zlonamjernog softvera

Hakerska grupa Fancy Bear aktivirala je ovih dana novu kampanju e-pošte sa zlonamjernim softverom koja sadrži PowerPoint datoteke, kako je izvijestila Cluster25, firma za obavještavanje o prijetnjama.

Zlonamjerne poruke sadrže PowerPoint prezentaciju za koju se čini da je povezana s Organizacijom za ekonomsku saradnju i razvoj (OECD). Ova datoteka koristi tehniku ​​izvršavanja koda, koja je dizajnirana da se aktivira kada korisnik pokrene prezentaciju i pređe mišem preko veze. Izvršavanje koda pokreće PowerShell skriptu (preko izvornog uslužnog programa SyncAppvPublishingServer.exe), koja preuzima i izvršava dropper sa OneDrive-a.

Taj malver dropper se zove Graphite, koji koristi Microsoft Graph API i OneDrive za C&C komunikaciju. Obično će mrežni sigurnosni uređaji manje provjeravati OneDrive veze. Osim toga, često im se vjeruje unutar organizacije.

Iako ova Powershell tehnika preuzimanja nije nova i primećena je još 2017. godine, verovatno je rezultat Microsoftovih pokušaja da ograniči makro dokumente u prilozima e-pošte. Upravo je to dovelo do razvoja alternativnih tehnika koje postaju sve dominantnije u hakerskim krugovima.

Tehnika je korisna za napadače jer ne zahtijeva eksplicitno klikanje, već pomicanje miša preko veze (scrolling the mouse over a link). MS Office Protected View (podrazumevano omogućen u novim verzijama Office-a) neće dozvoliti pokretanje rezultirajuće skripte, što je dobra vijest.

Međutim, budući da se napadači oslanjaju na to da će neki korisnici onemogućiti Protected View ili pokrenuti starije verzije Office-a, korisno je imati EDR postavljen za nadgledanje IOC-a, kao što je pokretanje SyncAppvPublishingServer.exe koji zahtijeva preuzimanje s weba.