PowerPoint je ponovo popularan vektor isporuke zlonamernog softvera

Hakerska grupa Fancy Bear je ovih dana aktivirala novu malver kampanju putem e-pošte koja sadrži PowerPoint datoteke, kako je izvestila Cluster25, firma za obaveštavanje o pretnjama.

Zlonamerne poruke sadrže PowerPoint prezentaciju za koju se čini da je povezana sa Organizacijom za ekonomsku saradnju i razvoj (OECD). Ova datoteka koristi tehniku izvršavanja koda, koja je dizajnirana da se aktivira kada korisnik pokrene prezentaciju i pređe mišem preko veze. Izvršavanje koda pokreće PowerShell skriptu (preko izvornog uslužnog programa SyncAppvPublishingServer.exe), koji preuzima i izvršava dropper sa OneDrive-a.

Taj malver dropper se zove Graphite, koji koristi Microsoft Graph API i OneDrive za C&C komunikaciju. Obično će uređaji za mrežnu bezbednost manje skenirati OneDrive veze. Pored toga, često im se veruje u organizaciji.

Iako ova tehnika preuzimanja Powershell-a nije nova i primećena je još 2017. godine, verovatno je rezultat Microsoftovih pokušaja da ograniči makro dokumente u prilozima e-pošte. Upravo to je dovelo do razvoja alternativnih tehnika koje postaju sve dominantnije u hakerskim krugovima.

Tehnika je korisna za napadače jer ne zahteva eksplicitno klikanje, već pomeranje miša preko veze. MS Office Protected View (podrazumevano omogućen u novim verzijama Office-a) neće dozvoliti pokretanje rezultirajuće skripte, što je dobra vest.

Međutim, pošto se napadači oslanjaju na to da će neki korisnici onemogućiti zaštićeni prikaz ili pokrenuti starije verzije Office-a, korisno je imati EDR podešen za nadgledanje IOC-a, kao što je pokretanje SyncAppvPublishingServer.exe koji zahteva preuzimanje sa weba.