PowerPoint i atak z makrami. Tak można pobrać m.in. infostealery

Problem opisuje Bleeping Computer, powołując się na uzyskane informacje od Netskope’s Threat Labs. Jak deklarują analitycy, od grudnia ubiegłego roku atakujący prowadzą kampanie, w ramach których udostępniją zainfekowane pliki z prezentacjami. Wykorzystano tu mechanizm makr, tworząc trudne do wykrycia instrukcje uruchamiające skrypt VBS.

Inicjuje on szereg działań zmierzających do przejęcia danych ofiary, co rozpoczyna manipulacja wpisami w rejestrze, wyłączenie Defendera oraz pobranie szkodliwego oprogramowania z sieci. Docelowo w komputerze instalowane są między innymi infostealery oraz oprogramowanie z rodziny RAT czy AgentTesla.

Jak wynika z analizy, w tym przypadku wykorzystywane są szkodliwe pakiety oprogramowania przechowywane na serwerach znanych dostawców. Od strony technicznej problem może nie zostać szybko rozwiązany, bo kłopotem jest dobre maskowanie kodu w makrach umieszczanych w prezentacjach. Nie jest to jednak pierwsza sytuacja, w której opisujemy tego typu atak.

By bronić się przed podobnymi zagrożeniami, należy wdrożyć wszelkie zasady bezpieczeństwa dotyczące phishingu. Ignorując je, można bowiem najłatwiej trafić na zainfekowane pliki. Przeglądając pocztę e-mail, należy więc ze zdwojoną ostrożnością podchodzić do wszelkich załączników (w tym przypadku plików PowerPointa) i weryfikować wiarygodność nadawcy wiadomości.

Warto zwrócić uwagę, że popularniejsze są ataki wykorzystujące obsługę makr w Excelu, najpewniej przez popularność tego oprogramowania w firmach i masowe atakowanie pracowników. W tym kontekście Microsoft sam świadomy jest zagrożenia i wprowadził domyślne blokowanie makr Excela 4.0. Jest to jednak stosunkowo świeża zmiana i nie wyklucza prób atakowania komputerów innymi drogami w ramach Office'a.