Prezentációkkal is terjednek a vírusok

​Folyamatosan emelkedik azon támadások száma, amelyekben PowerPoint prezentációk játsszák a főszerepet.
 

Már tavaly év végén is beszámoltunk arról, hogy az Agent Tesla trójai terjesztői egyre jobban megkedvelik a PowerPointot, és kártékony kódokat tartalmazó prezentációk segítéségével igyekeznek megfertőzni a számítógépeket. Erről a szokásukról azóta sem tettek le, sőt úgy tűnik, hogy mind több csaló és vírusterjesztő kap rá erre a technikára. Valószínűleg azért, mert a felhasználók többsége már tisztában van azzal, hogy a Word és Excel fájlokban lévő makrókat csak akkor szabad engedélyezni, ha előtte meggyőződtek az adott dokumentum hitelességéről, megbízhatóságáról. Csakhogy az már kevésbé ismert, hogy a Word és Excel mellett a PowerPoint állományokba is lehet makrókat illeszteni, amik semmivel sem rejtenek kevesebb kockázatot.
 
A Netskope Threat Labs biztonsági kutatói több olyan prezentációs állományt vettek szemügyre, amelyek kártékony célokat szolgálnak. Ezek elemzése során kiderült, hogy e fájlok jelenleg leginkább az Agent Tesla terjesztésében kapnak szerepet, de kriptopénzek eltulajdonítására használható kódok is terjednek általuk.
 
Amikor a felhasználó megnyit egy fertőzött állományt, és engedélyezi a makrók futtatását, akkor VBS és PowerShell scriptek futnak le, amelyek révén a nemkívánatos programok felkerülnek a számítógépre. Ezt követően e kódok arról is gondoskodnak, hogy a regisztrációs adatbázis módosításával biztosítsák a folyamatos jelenlétet, és hatástalanítsák a Windows Defender védelmi szoftvert.
 
A csalók a feltűnés elkerülése érdekében a makróik segítségével teljesen legális webes szolgáltatásokon keresztül töltik le a nemkívánatos szerzeményeiket. Ezt követően az Agent Tesla révén bizalmas adatokat gyűjtenek össze, majd szivárogtatnak ki. Eközben némi kriptopénzt is megpróbálnak bezsebelni. Ezt olyan módon teszik, hogy a károkozójukkal folyamatosan figyelemmel kísérik a Windows vágólapjának változásait, és amennyiben azon kriptopénztárcához köthető adatot vagy akár bitcoin címet detektálnak (elsősorban regex kifejezésekkel), akkor azokat lecserélik a saját pénztárcájuk címére. Így amikor a felhasználó a vágólapról beilleszti a címet, és nem figyel eléggé, akkor rossz helyre küldheti a kriptopénzt.
 
A károk megelőzése érdekében nagyon fontos szem előtt tartani, hogy a PowerPoint állományok esetében is csak indokolt esetben és nagyon körültekintő módon célszerű engedélyezni a makrókat.
Vélemények
 
  1. 4

    Az NVIDIA fontos biztonsági frissítést tett letölthetővé grafikus driverekhez.

  2. 4

    Az OpenLDAP kapcsán egy biztonsági hibára derült fény.

  3. 1

    ​A Hermwiz féreg meglehetősen gyorsan képes terjedni a helyi hálózatokba.

 
Partnerhírek
A technológiai fejlődés jövője

Az ESET új megközelítéssel és kiemelkedő véleményvezérekkel mutatja be, hogyan látja a technológia fejlődésének jövőjét.

Biztonsági hibák a Lenovo notebookokban

Az ESET kutatói három olyan sebezhetőséget fedeztek fel és elemeztek ki, amelyek a Lenovo gyártmányú laptopokat érintik.

hirdetés
Közösség