科学研究工作人员发觉,攻击者已经应用鲜为人知的PowerPoint文件隐藏恶意可执行程序,这种可执行程序可以重新写过Windows注册表文件设定以接手最后用户的电子计算机。
这也是危害个人行为者近期根据她们日常采用的受信赖应用软件,应用致力于躲避检测服务并看起来合理合法的电子邮件,以密秘方法进攻桌面上用户的诸多方法之一。
Check Point企业Avanan的一项新科学研究揭露了PowerPoint中一个“不为人知的软件”——.ppam文档——是怎样被用于掩藏恶意手机软件的。Avanan的网络信息安全研究者兼投资分析师Jeremy Fuchs在周四公布的一份报告书中写道,该文件具备奖赏指令和自定宏等作用。
从1月份逐渐,科学研究工作人员观查到攻击者会推送含有恶意用意的社会工程电子邮件,在其中包括了.ppam文档配件。
电子邮件进攻空间向量
例如,在运动中留意到的一封电子邮件据悉是向收货人推送采购单。Fuchs说,额外的.ppam文件夹名称为PO04012022,它看上去是正规的,而且主要包括一个恶意可执行程序。
有效载荷在最后用户的设备上实行了很多没经用户受权的函数公式,包含安裝建立和开启新过程的新程序流程、变更文件名后缀及其动态性启用导进的函数公式。
Fuchs写道:“根据将采购单电子邮件的潜在性迫切性与风险文档紧密结合,这类进攻包括了一个可以催毁最后用户和企业的双重打击。”
他说道,该主题活动容许攻击者应用一个不太常见的文档绕开电子计算机的目前安全系数——在本例中是由Google给予的安全系数——因而不容易开启电子邮件扫描机。
“除此之外,它表明了该文件的潜在的风险,因为它可用作包裝一切种类的恶意文档,包含勒索病毒,”Fuchs写道。
实际上,在10月份,有新闻报道称攻击者已经应用.ppam文档来包裝勒索病毒,他引入了网络信息安全门户网PCrisk10月份公布的有关Ppam勒索病毒的汇报如此讲到。
对于桌面上用户
科学研究工作人员近期看到了好多个新的根据电子邮件的运动之一,这种主题活动对于的是应用Microsoft Office、Google Docs和Adobe Creative Cloud等常见文本编辑和合作应用软件的桌面上用户。攻击者通常应用电子邮件传输盗取用户信息内容的恶意文档或连接。
上年11月,有新闻报道称骗人已经应用正规的Google Drive合作作用来哄骗用户点一下电子邮件中的恶意连接或消息推送邀约别人共享资源Google文本文档的通告。这种连接将用户正确引导至盗取其凭证的网址。
接着,Avanan科学研究工作人员在12月发觉的一波互联网中间人攻击关键对于Outlook用户,运用Google Docs的“评价”作用推送恶意连接,进而盗取受害人的凭证。
上月,Avanan精英团队评估了科研工作人员在12月观查到的另一个骗术,在其中发觉危害个人行为者在Adobe Cloud模块中建立账号,并推送看起来合理合法的图象和PDF,但却将恶意手机软件传送给Office 365和Gmail用户。
减轻和防止
为避免遭受电子邮件行骗的危害,Fuchs向专职安全员强烈推荐了一些典型性防范措施。
一种是安裝电子邮件维护,将全部文件上传到沙盒中并检验他们是不是存有恶意內容。另一个办法是采用附加的安全防范措施——例如动态变化电子邮件的伤害指标值(IoC)——以保证进到局域网络的电子邮件的安全性。
“这封电子邮件未根据SPF查验,发件人的历史时间信誉无足轻重,”Fuchs在提到Avanan科学研究工作人员观查到的互联网钓鱼邮件时写道。SPF(Sender Policy Framework)是一种电子邮件身份认证技术性,用以避免垃圾短信发件人和别的各种不良行为者推送来源于另一个网站域名的欺诈性电子邮件。
他填补说,企业还应持续激励其互联网中的最后用户,假如她们根据电子邮件接到不了解的文档,请联络她们的IT单位。
文中翻譯自:https://threatpost.com/powerpoint-abused-take-over-computers/178182/倘若转截,请标明全文详细地址。