Prezentációkkal is terjednek a vírusok

​Folyamatosan emelkedik azon támadások száma, amelyekben PowerPoint prezentációk játsszák a főszerepet.
 

Már tavaly év végén is beszámoltunk arról, hogy az Agent Tesla trójai terjesztői egyre jobban megkedvelik a PowerPointot, és kártékony kódokat tartalmazó prezentációk segítéségével igyekeznek megfertőzni a számítógépeket. Erről a szokásukról azóta sem tettek le, sőt úgy tűnik, hogy mind több csaló és vírusterjesztő kap rá erre a technikára. Valószínűleg azért, mert a felhasználók többsége már tisztában van azzal, hogy a Word és Excel fájlokban lévő makrókat csak akkor szabad engedélyezni, ha előtte meggyőződtek az adott dokumentum hitelességéről, megbízhatóságáról. Csakhogy az már kevésbé ismert, hogy a Word és Excel mellett a PowerPoint állományokba is lehet makrókat illeszteni, amik semmivel sem rejtenek kevesebb kockázatot.
 
A Netskope Threat Labs biztonsági kutatói több olyan prezentációs állományt vettek szemügyre, amelyek kártékony célokat szolgálnak. Ezek elemzése során kiderült, hogy e fájlok jelenleg leginkább az Agent Tesla terjesztésében kapnak szerepet, de kriptopénzek eltulajdonítására használható kódok is terjednek általuk.
 
Amikor a felhasználó megnyit egy fertőzött állományt, és engedélyezi a makrók futtatását, akkor VBS és PowerShell scriptek futnak le, amelyek révén a nemkívánatos programok felkerülnek a számítógépre. Ezt követően e kódok arról is gondoskodnak, hogy a regisztrációs adatbázis módosításával biztosítsák a folyamatos jelenlétet, és hatástalanítsák a Windows Defender védelmi szoftvert.
 
A csalók a feltűnés elkerülése érdekében a makróik segítségével teljesen legális webes szolgáltatásokon keresztül töltik le a nemkívánatos szerzeményeiket. Ezt követően az Agent Tesla révén bizalmas adatokat gyűjtenek össze, majd szivárogtatnak ki. Eközben némi kriptopénzt is megpróbálnak bezsebelni. Ezt olyan módon teszik, hogy a károkozójukkal folyamatosan figyelemmel kísérik a Windows vágólapjának változásait, és amennyiben azon kriptopénztárcához köthető adatot vagy akár bitcoin címet detektálnak (elsősorban regex kifejezésekkel), akkor azokat lecserélik a saját pénztárcájuk címére. Így amikor a felhasználó a vágólapról beilleszti a címet, és nem figyel eléggé, akkor rossz helyre küldheti a kriptopénzt.
 
A károk megelőzése érdekében nagyon fontos szem előtt tartani, hogy a PowerPoint állományok esetében is csak indokolt esetben és nagyon körültekintő módon célszerű engedélyezni a makrókat.