Tehdit aktörleri, farklı türde kötü amaçlı yazılımları dağıtmak için giderek daha fazla Microsoft PowerPoint dosyalarına yöneliyor.
Yeni Netskope araştırması, 2021’in sonundan bu yana, çok sayıda bilgisayar korsanlığı grubunun, korkunç makroların yardımıyla her türlü kötülüğü hedef cihazlara dağıtabilen PowerPoint dosyalarını barındırmak için meşru bulut hizmetlerini kullanmaya başladığını buldu.
Netskope, üç kötü amaçlı yazılım ailesinin hakim olduğunu söylüyor: Warzone (aka AveMaria) ve AgentTesla – her ikisi de güçlü Uzaktan Erişim Truva Atları (RAT) ve kripto para hırsızları.
Bitcoin çalmak için panoyu ele geçirmek
Araştırmacılar, PowerPoint dosyasının, yerleşik Windows araçları, PowerShell ve MSHTA’nın bir kombinasyonu tarafından yürütülen, karmaşık bir makro taşıdığını iddia ediyor.
Bir kez yürütüldüğünde, VBS komut dosyası yeni bir Windows girişi oluşturur ve biri AgentTesla’yı indiren, diğeri Windows’un yerleşik antivirüs çözümü Microsoft Defender’ı devre dışı bırakan iki ek komut dosyasını yürütür.
AgentTesla’nın tarayıcı parolalarını, tuş vuruşlarını, pano içeriklerini ve benzer verileri çaldığı bilinen bir gerçek olsa da, Warzone hakkında çok az şey biliniyor (ve Netskope tarafından paylaşılıyor).
Üçüncü yük, bir kripto para cüzdanıyla eşleşen veriler için panoyu tarayan bir kripto para hırsızıdır. Eğer bulursa, kurban bir dahaki sefere bir kripto para cüzdanı kopyaladığında, saldırganlara ait farklı bir cüzdan yapıştıracaktır.
Office makroları, uzun süredir kötü amaçlı yazılım dağıtımının temelini oluşturuyor. Office dosyalarının Visual Basic for Applications (VBA) programlama dilinde yazılmış gömülü kod içermesine izin veren bir araçtır. Kod, kaydedilebilecek ve daha sonra tekrar oynatılabilecek birden fazla komut tutabilir. Başlangıçta tekrarlayan görevleri otomatikleştirmeye yardımcı olmak için tasarlanmışlardı, o zamandan beri kötü amaçlı yazılım dağıtmak için onları kötüye kullanan suçlular tarafından kaçırıldılar.
Microsoft, kullanıcıları güvende tutmak için Excel 4.0 makrolarını varsayılan olarak devre dışı bıraktığı noktaya geldi.
Üzerinden: BleeBilgisayar
