PowerPoint ponovno popularan vektor za isporuku malware-a

Hakerska skupina Fancy Bear je ovih dana aktivirala novu e-mail kampanju zlonamjernog softvera koja sadrži PowerPoint datoteke, kako je izvijestio Cluster25, tvrtka za obavještavanje o prijetnjama.

Zlonamjerne poruke sadrže PowerPoint prezentaciju za koju se čini da je povezana s Organizacijom za ekonomsku suradnju i razvoj (OECD). Ova datoteka koristi tehniku ​​izvršavanja koda, koja je osmišljena da se aktivira kada korisnik pokrene prezentaciju i prijeđe mišem preko linka. Izvršenje koda pokreće PowerShell skriptu (putem izvornog uslužnog programa SyncAppvPublishingServer.exe), koja preuzima i izvršava dropper s OneDrive-a.

Taj malware dropper zove se Graphite, koji koristi Microsoft Graph API i OneDrive za C&C komunikaciju. Obično će mrežni sigurnosni uređaji manje provjeravati OneDrive linkove. Osim toga, često im se vjeruje unutar organizacije.

Iako ova Powershell tehnika preuzimanja nije nova i primijećena je još 2017. godine, vjerojatno je rezultat Microsoftovih pokušaja da ograniči dokumente sa makro naredbama u privicima e-pošte. Upravo to je i dovelo do razvoja alternativnih tehnika koje postaju sve dominantnije u hakerskim krugovima.

Tehnika je korisna za napadače jer ne zahtijeva eksplicitno klikanje, već prelazak mišem (scrolling the mouse over a link). MS Office Protected View (defaultno omogućen u novim verzijama Office-a) neće dopustiti pokretanje rezultirajuće skripte, što je dobra vijest.

Međutim, budući da se napadači oslanjaju na to da neki korisnici onemogućuju Protected View ili pokreću starije verzije Office-a, korisno je imati postavljen EDR za praćenje IOC-ova kao što je pokretanje SyncAppvPublishingServer.exe koji poziva na preuzimanje s weba.