Odkryto nowy ciekawy sposób na instalację złośliwego oprogramowania poprzez pliki prezentacji Microsoft PowerPoint, bez wykorzystania mechanizmów makr, JavaScript i VBA. Dzięki zmodyfikowanej wersji malware Zusy, teraz wystarczy otworzyć zainfekowany plik PowerPoint i najechać myszką na link lub odpowiednio ukryty na slajdzie tekst (np. hiperłącze w kolorze tła). W analizowanym przez portal sentinel.com złośliwym pliku PowerPoint, po otwarciu wyświetla się biały slajd z niebieskim napisem, który jest hiperłączem. Po najechaniu wskaźnikiem myszki na napis Loading... Please wait, aby sprawdzić adres linku, automatycznie uruchamiany jest złośliwy kod xml. Co więcej, kod ten uruchamiany jest bez kliknięcia przez użytkownika w hiperłącze!
Cyberprzestępcy efekt ten osiągnęli poprzez wykorzystanie kodu PowerShell podczas definicji akcji dla elementu hover. Akcja ta została skonfigurowana do wykonania programu w PowerPoint zawsze gdy tylko użytkownik najedzie myszką na link. Na szczęście w nowszych wersjach Microsoft PowerPoint: 2010 oraz 2013, przed wykonaniem złośliwego kodu domyślnie wyświetlany jest taki oto monit, informujący o potencjalnym niebezpieczeństwie:
Złośliwy slajd z widocznym komunikatem po najechaniu myszką na link (źródło: www.sentinel.com) |
Niemniej jednak przez pośpiech, nieczytanie wyświetlanych komunikatów, lenistwo itp. użytkownicy mogą włączyć złośliwy kod (ważną kwestią tutaj będzie na pewno odpowiedni element socjotechniczny). Uruchomiony poprzez najechanie na hiperłącze (bez kliknięcia) złośliwy kod napisany w xml łączy się z serwerem C&C:
- http://cccn.nl/c.php
- http://cccn.nl/2.2
- 46.21.169.110
- http://basisinkomen.nl/a.php
Pozostałe rekordy DNS powiązane z powyższym adresem IP: LINK.
Uwaga!
Zaobserwowano rozsyłanie wiadomości e-mail ze szkodliwym plikiem z adresów w domenie .pl
Złośliwy kod xml, umieszczony w elemencie rId2 i ppt/slides/_rels/slide1.xml.rels wygląda tak:
Następnie, po połączeniu wykonywany jest kod z pliku c.php umieszczonego na serwerze i pobierany jest do folderu tymczasowego stacji roboczej złośliwy plik o nazwie ii.jse (JScript Encoded File), który jest wykonywany przez WScript. Jak się okazało złośliwy kod został napisany w czystym C i może być z sukcesem wykonany również na urządzeniach Mac. Ostatecznie tworzony jest złośliwy program z rozszerzeniem .exe.
Uwaga!
Zaobserwowano rozsyłanie wiadomości e-mail ze szkodliwym plikiem z adresów w domenie .pl
Złośliwy kod xml, umieszczony w elemencie rId2 i ppt/slides/_rels/slide1.xml.rels wygląda tak:
Złośliwy kod xml z widocznym fragmentem wywołującym Powershell (źródło: www.sentinel.com) |
Fragment kodu z akcją wywołującą złośliwy kod (źródło: www.dodgethissecurity.com) |
Następnie, po połączeniu wykonywany jest kod z pliku c.php umieszczonego na serwerze i pobierany jest do folderu tymczasowego stacji roboczej złośliwy plik o nazwie ii.jse (JScript Encoded File), który jest wykonywany przez WScript. Jak się okazało złośliwy kod został napisany w czystym C i może być z sukcesem wykonany również na urządzeniach Mac. Ostatecznie tworzony jest złośliwy program z rozszerzeniem .exe.
Warto również dodać, iż na złośliwy kod tego typu odporny jest PowerPoint Viewer, ponieważ nie obsługuje on uruchamiania zewnętrznych programów.
Analiza VirusTotal złośliwego pliku:
Na obecną chwilę złośliwy plik wykrywa mniej niż połowa oprogramowania antywirusowego na rynku. Złośliwa prezentacja występuje w formie pliku z rozszerzeniem .ppsx
Więcej informacji w języku angielskim na temat tego ataku możecie przeczytać pod tym adresem:
Więcej informacji w języku angielskim na temat tego ataku możecie przeczytać pod tym adresem:
Źródło:
https://www.sentinel.com
https://www.dodgethissecurity.com
https://www.dodgethissecurity.com
https://virustotal.com
Brak komentarzy:
Prześlij komentarz