История
Найден новый способ заражения троянской программой Zusy: достаточно провести курсором в PowerPoint
- Нина Андреева
Хакеры никогда не дремлют – они находятся в непрерывном поиске лазеек, через которые можно заразить ваши приборы. Кажется, они нашли пару новейших эффективных методов. Теперь же вирус Zusy проникает в ПК через PowerPoint и mouseover.
Распространение различных вредоносных программ с помощью вредоносных файлов Office (чаще всего их роль играют документы Word) – это давно проверенная злоумышленниками тактика. Как правило, такие атаки включают в себя элемент социальной инженерии и используют макросы VBA в документе.
Теперь независимый эксперт Рубен Дэниел Додж (Ruben Daniel Dodge), а также специалисты компании SentinelOne, предупреждают о появлении новой техники атак, которая использует файлы PowerPoint и выглядит опаснее уже привычных уловок с макросами.
Именно так: безобидная программа PowerPoint для создания презентаций, способна скрывать в себе угрозу. Она может причинить ущерб системе вашего ПК, если вы скачиваете ее с ненадежных источников.
Широко известно заражение через Word, однако вот об опасности иной программы Microsoft мало кто знает. Проблема в том, что в программе PowerPoint имеются файлы, которые работают с событиями mouseover.
Файлы приходят к вам через спам-письма с темами вида RE:Purchase orders #69812 или Fwd:Confirmation. Внутри таких посланий можно обнаружить вложения с именами order&prsn.ppsx, order.ppsx и invoice.ppsx. Иногда файлы бывают запакованы в ZIP-архивы.
Файл вредоносной презентации содержит всего один слайд, и его можно увидеть на иллюстрации ниже. Надпись, которая также является ссылкой, гласит: «Загрузка… Пожалуйста, подождите». Однако никакой загрузки не происходит.
Вам предлагают перейти по гиперссылке, которая активирует код PowerShell. Пользователь наверняка захочет если не кликнуть по ссылке, то хотя бы навести на нее курсор, а это спровоцирует попытку выполнения кода PowerShell.
В большинстве случаев антивирус предостерегает о небезопасных файлах, однако пользователь может не обратить внимания на предупредительную информацию.
Специалисты предупреждают, что если у жертвы при этом включена защитная функция Protected View, активная в большинстве поддерживаемых версий Office, система предупредит пользователя об опасности и остановит атаку.
Однако если Protected View не работает, или пользователь решил пренебречь предупреждением, вредоносный PowerShell сработает, что приведет к загрузке на компьютер файла c.php с домена cccn.nl.
Эксперты пишут, что согласно их анализу, таким методом распространяются новые версии банковского трояна, известного под названиями Zusy, Tinba или Tiny Banker. По этой причине следует быть аккуратными и не подвергать собственный ПК опасности.
