Güvenlik firması Avanan’ın bulgularına göre, kötü amaçlı dosyaları yaymak için bir PowerPoint eklentisi kullanılıyor. Avanan’dan Jeremy Fuchs için, bonus komutlar ve özel makrolar içeren .ppam dosyası, bilgisayar korsanları tarafından “yürütülebilir dosyaları sarmak için” kullanılır. Şirket, bu saldırı vektörünü Ocak ayında görmeye başladı ve .ppam dosyalarının yürütülebilir dosyaları bilgisayar korsanlarının “son kullanıcının bilgisayarının kontrolünü ele geçirmesine” olanak tanıyacak şekilde sarmak için kullanıldığını belirtti. Çoğu saldırı e-posta yoluyla yapılır.
“Bu saldırıda, bilgisayar korsanları genel bir satın alma siparişi e-postası, oldukça standart bir kimlik avı mesajı gösteriyor. E-postaya eklenen dosya bir .ppam dosyasıdır. Bir .ppam dosyası, bazı işlevleri genişleten ve ekleyen bir PowerPoint eklentisidir. Ancak , bu dosya aslında kayıt defteri ayarlarının üzerine yazan kötü amaçlı bir işlem içeriyor” diye açıklıyor güvenlik araştırmacısı.
“.ppam dosyalarını kullanarak, bilgisayar korsanları kötü amaçlı dosyaları sarabilir ve bu nedenle gizleyebilir. Bu durumda, dosya Windows kayıt defteri ayarlarının üzerine yazarak saldırganın bilgisayarın kontrolünü ele geçirmesine ve bilgisayar belleğinde kalıcı olarak kalarak etkin kalmasına olanak tanır.” Bilgisayar korsanları, .ppam dosyasını kullanmanın nadir olması nedeniyle güvenlik araçlarını atlamanın bir yolunu bulmuşlardır. Fuchs, bu saldırı yönteminin fidye yazılımını yaymak için kullanılabileceğini de sözlerine ekledi ve Ekim ayında bir fidye yazılımı grubunun bir saldırıda bu tür dosyaları kullandığı bir olayı hatırlattı.
Microsoft için bir veba
Vectra’da SaaS duruşu başkan yardımcısı Aaron Turner için, Microsoft’un işbirliği paketinin her yerde bulunması onu saldırganların gözdesi haline getiriyor ve en son PowerPoint saldırısı, 20 yılı aşkın kurnaz açıklardan yararlanmanın en son örneği.
“E-postaları için Exchange Online’a bağlı olan kuruluşlar, Microsoft 365 Defender Portallarında yapılandırılan kötü amaçlı yazılımdan koruma ilkelerini gözden geçirmelidir. Ayrıca, Defender ilkeleri dışında ele alınması gereken yüksek bir saldırı riski varsa, belirli ek dosya türleri, bir Exchange Online posta akışı ilkesi gibi özel bir .ppam engelleme ilkesinde engellenebilir,” diyor yönetici.
“Exchange Online’a karşı duruş değerlendirme taramamızı çalıştırdığımızda, yapılandırılmış politikayı kontrol ediyor ve 100’den fazla farklı dosya türünü engelleme önerimizle karşılaştırıyoruz. Bu taramanın sonucunda, dosya uzantıları listemize .ppam ekleyeceğiz. söz konusu PowerPoint dosya uzantısının göreceli belirsizliği ve düşük kullanımı nedeniyle engelleyin.”
Kaynak: ZDNet.com