Útočníci často hledají zranitelnosti, pomocí kterých mohou zneužít počítač a nainstalovat malware. Tentokrát kolem chyby zabezpečení v vkládání objektů OLE (Windows Object Linking Embedding) útočníci zneužívají prostřednictvím aplikace Microsoft PowerPoint.

Podle zprávy bezpečnostní společnosti Trend Micro je nejběžnějším typem rozhraní, které se používá k zneužití této chyby zabezpečení, použití souboru Rich Text File. To vše se provádí pomocí maškarní prezentace PowerPoint. Modus operandi je však docela typický, je odeslán e-mail obsahující přílohu. Obsah e-mailu je připraven tak, aby získal okamžitou pozornost příjemce a zároveň maximalizoval šance na odpověď.

Připojený dokument je patrně souborem PPSX, což je formát souboru spojený s aplikací PowerPoint. Tento formát nabízí pouze přehrávání snímku, ale možnosti úprav jsou zablokovány. V případě, že je soubor otevřen, zobrazí se pouze následující text „ CVE-2017-8570. (Další chyba zabezpečení sady Microsoft Office.) “.

Ve skutečnosti otevření souboru spustí zneužití pro další chybu zabezpečení nazvanou CVE-2017-0199 a pak pomocí animací PowerPoint odstraní škodlivý kód. Nakonec bude stažen soubor s názvem logo.doc. Dokument je tvořen souborem XML s kódem JavaScript, který se používá ke spuštění příkazu PowerShell a ke stažení škodlivého programu nazvaného „RATMAN.exe“. což je Trojan pro vzdálený přístup označovaný jako.

Trojan může zaznamenávat úhozy, pořizovat snímky obrazovky, nahrávat videa a také stahovat další malware. Útočník bude mít v podstatě plnou kontrolu nad počítačem a může doslova způsobit vážné poškození ukradením všech vašich informací, včetně bankovních hesel. Použití souboru PowerPoint je chytrý dotyk, protože antivirový modul bude hledat soubor RTF.

Všechny řečeno a hotovo, společnost Microsoft již tuto chybu zabezpečení opravila již v dubnu, a to je jeden z důvodů, proč doporučujeme lidem, aby své PC aktualizovali. Dalším typickým tipem je vyhnout se stahování příloh z neznámých zdrojů, prostě to nedělejte.