Зловмисники часто шукають уразливості, завдяки яким вони можуть експлуатувати машину та встановлювати зловмисне програмне забезпечення. Цього разу зловмисники використовують вразливість вбудовування об'єктів Windows (OLE) через Microsoft PowerPoint.

Відповідно до звіту охоронної фірми Trend Micro, найпоширенішим типом інтерфейсу, який використовується для використання вразливості, є використання файлу Rich Text. Все це робиться шляхом носіння маскараду слайд-шоу PowerPoint. Однак спосіб роботи є досить типовим, електронний лист, що містить вкладення, надсилається. Вміст електронної пошти читається таким чином, що він отримує безпосередню увагу одержувача, а також збільшує шанси на відповідь.

Мабуть, додається документ - це файл PPSX, який є форматом файлу, пов'язаним з PowerPoint. Цей формат пропонує лише відтворення слайда, але параметри редагування вимкнено. Якщо файл буде відкрито, він просто відобразить наступний текст, " CVE-2017-8570. (Ще одна вразливість для Microsoft Office.) '.

Насправді відкриття файла спричинить подвиг для іншої вразливості під назвою CVE-2017-0199, і тоді він вивантажить шкідливий код за допомогою анімації PowerPoint. Врешті-решт буде завантажений файл під назвою logo.doc. Документ складається з файлу XML з кодом JavaScript, який використовується для запуску команди PowerShell та завантаження шкідливої ​​програми під назвою "RATMAN.exe". який є віддаленим доступом Троян, про який йдеться.

Троянин може записувати натискання клавіш, знімати скріншоти, записувати відео, а також завантажувати інші шкідливі програми. По суті, зловмисник буде повністю контролювати ваш комп’ютер і може буквально завдати серйозної шкоди, вкравши всю вашу інформацію, включаючи банківські паролі. Використання файлу PowerPoint - це розумний штрих, оскільки антивірусна система буде шукати RTF-файл.

У всьому сказаному та зробленому, Microsoft вже зафіксувала вразливість у квітні, і це одна з причин, чому ми пропонуємо людям постійно оновлювати свій ПК. Ще одна важлива порада - уникати завантаження вкладень з невідомих джерел, просто не робіть цього.