攻击者正在使用模糊的PowerPoint文件来隐藏恶意可执行文件,这些文件可以重写Windows注册表设置以接管最终用户计算机,研究人员发现。这是威胁行为者最近通过他们每天使用的受信任应用程序暗中攻击桌面用户的众多方式之一,使用旨在逃避安全检测并看似合法的电子邮件。CheckPoint的Avanan进行的一项新研究揭示了PowerPoint中“鲜为人知的插件”——.ppam文件——是如何被用来隐藏恶意软件的。Avanan网络安全研究员兼分析师JeremyFuchs在周四发布的一份报告中写道,该文件具有奖励命令和自定义宏等功能。从1月开始,研究人员观察到攻击者发送带有恶意意图的社交工程电子邮件,其中包含.ppam文件附件。电子邮件攻击向量例如,在活动中观察到的一封电子邮件据称向收件人发送了采购订单。Fuchs说,附件中名为PO04012022的.ppam文件看似合法,但包含恶意可执行文件。有效负载在用户未授权的最终用户机器上执行许多功能,包括安装创建和打开新进程的新程序、更改文件属性以及动态调用导入的函数。“通过将采购订单电子邮件的潜在紧迫性与危险文件结合起来,这种攻击包含了双重打击,可以摧毁最终用户和公司,”Fuchs写道。常用文件会绕过计算机现有的安全措施——在本例中,由谷歌提供——因此不会触发电子邮件扫描程序。“此外,它显示了该文件的潜在危险,因为它可用于包装任何类型的恶意文件,包括勒索软件,”Fuchs写道。事实上,在10月份,有报道称攻击者正在使用.ppam文件来打包勒索软件,他引用了网络安全门户网站PCrisk10月份关于Ppam勒索软件的报告。针对桌面用户研究人员最近发现了几个新的基于电子邮件的活动之一,这些活动针对使用流行的文字处理和协作应用程序(例如MicrosoftOffice、GoogleDocs和Adob??eCreativeCloud)的桌面用户。攻击者经常使用电子邮件传递窃取用户信息的恶意文件或链接。去年11月,有报道称诈骗者使用合法的GoogleDrive协作功能诱骗用户点击电子邮件中的恶意链接或推送通知,邀请他人共享Google文档。这些链接将用户引导至窃取其凭据的网站。随后,Avanan研究人员在12月发现了一波针对Outlook用户的网络钓鱼攻击,使用Google文档的“评论”功能发送恶意链接,窃取受害者的凭据。上个月,Avanan团队报告了研究人员在12月观察到的另一个骗局,其中威胁行为者在Adob??eCloud套件中创建帐户并发送看似合法的图像和PDF,但向Office365和Gmail用户发送了恶意软件。缓解和预防Fuchs为安全管理员推荐了一些典型的预防措施,以避免电子邮件诈骗的威胁。一种是安装电子邮件保护,将所有文件下载到沙箱中并检查它们是否包含恶意内容。另一种方法是采取额外的安全措施——例如动态分析电子邮件的妥协指标(IoC)——以确保进入公司网络的消息的安全。“这封电子邮件未通过SPF检查,发件人的历史声誉微不足道,”Fuchs在谈到Avanan研究人员观察到的网络钓鱼电子邮件时写道。SPF(发件人策略框架)是一种电子邮件身份验证技术,用于防止垃圾邮件发送者和其他不良行为者从另一个域发送欺骗性电子邮件。公司还应不断鼓励其网络中的最终用户在通过电子邮件收到不熟悉的文件时联系其IT部门,他补充说。本文翻译自:https://threatpost.com/powerpoint-abused-take-over-computers/178182/如有转载请注明出处。
