Útočníci často hľadajú zraniteľné miesta, pomocou ktorých môžu zneužiť počítač a nainštalovať malvér. Tentokrát útočníci zneužívajú zraniteľnosť pri vkladaní objektov OLE Windows pomocou útočníkov.

Podľa správy bezpečnostnej spoločnosti Trend Micro je najbežnejším typom rozhrania, ktoré sa používa na zneužitie zraniteľnosti, použitie súboru RTF. To všetko sa vykonáva pomocou maškarné prezentácie PowerPoint. Modus operandi je však dosť typický, pošle sa e-mail obsahujúci prílohu. Obsah e-mailu je pripravený tak, aby získal okamžitú pozornosť príjemcu a zároveň maximalizoval šance na odpoveď.

Pripojený dokument je zjavne súbor PPSX, čo je formát súboru spojený s programom PowerPoint. Tento formát ponúka iba prehrávanie snímky, ale možnosti úprav sú zablokované. V prípade otvorenia súboru sa zobrazí iba nasledujúci text „ CVE-2017-8570. (Ďalšia zraniteľnosť balíka Microsoft Office.) “.

V skutočnosti bude otvorenie súboru viesť k zneužitiu ďalšej chyby zabezpečenia nazvanej CVE-2017-0199 a potom prostredníctvom škodlivých kódov prostredníctvom animácií programu PowerPoint zbaví škodlivý kód. Nakoniec sa stiahne súbor s názvom logo.doc. Dokument pozostáva zo súboru XML s kódom JavaScript, ktorý sa používa na spustenie príkazu PowerShell a na stiahnutie škodlivého programu s názvom „RATMAN.exe“. čo je Trojan pre vzdialený prístup označovaný ako.

Trójsky kôň dokáže zaznamenávať stlačenia klávesov, snímať snímky obrazovky, zaznamenávať videá a tiež sťahovať ďalší malware. Útočník bude mať v podstate úplnú kontrolu nad počítačom a môže ukradnúť všetky informácie vrátane bankových hesiel a môže spôsobiť vážne škody. Použitie súboru PowerPoint je šikovný dotyk, pretože antivírusový modul bude hľadať súbor RTF.

Všetci povedali a urobili, Microsoft už opravil chybu zabezpečenia už v apríli, a to je jeden z dôvodov, prečo odporúčame ľuďom, aby aktualizovali svoje PC. Ďalším typickým tipom je vyhnúť sa sťahovaniu príloh z neznámych zdrojov, jednoducho to nerobte.