Nouvelle méthode utilisée pour livrer des logiciels malveillants via des fichiers PowerPoint

Les cybercriminels tirent parti d'une nouvelle technique, qui implique des fichiers PowerPoint et des événements mouseover, pour permettre aux utilisateurs d'exécuter du code arbitraire sur leurs systèmes et de télécharger des logiciels malveillants.

Il n'est pas rare que les acteurs malveillants fournissent des logiciels malveillants en utilisant des fichiers Office spécialement conçus, en particulier des documents Word. Ces attaques reposent généralement sur l'ingénierie sociale pour inciter l'utilisateur ciblé à activer les macros VBA intégrées dans le document.

Cependant, les chercheurs ont récemment repéré plusieurs fichiers PowerPoint malveillants qui utilisent des événements mouseover pour exécuter le code PowerShell. Ces fichiers, appelés "order.ppsx" ou "invoice.ppsx", ont été distribués par courrier indésirable avec des lignes d'objet telles que "Numéro de commande 130527" et "Confirmation".

Une analyse réalisée par Ruben Daniel Dodge montre que lorsque la présentation PowerPoint est ouverte, elle affiche le texte "Loading … Please wait" en tant que lien hypertexte.

 PowerPoint délivre des logiciels malveillants "title =" PowerPoint livre des logiciels malveillants "width =" 580 "height =" 278 "style =" vertical-align: top; Bordure: 1px solide noir; "/> </span> </span> </p>
<p> <span style= Si l'utilisateur plane la souris sur le lien – même sans cliquer dessus – l'exécution du code PowerShell est déclenchée. La fonction de sécurité Vista protégée, activée par défaut dans la plupart des versions compatibles d'Office, informe l'utilisateur des risques et les invite à activer ou à désactiver le contenu.

Si la victime permet le contenu, le code PowerShell est exécuté et un domaine appelé "cccn.nl" est contacté. Un fichier est téléchargé à partir de ce domaine et exécuté, ce qui entraîne finalement le déploiement d'un logiciel de téléchargement de logiciels malveillants.

Des chercheurs de SentinelOne ont également analysé …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Aller à la barre d’outils