PowerPoint используется как приманка для распространения вредоносных программ
PowerPoint используется как приманка для распространения вредоносных программ. Фото: Pexels
Новое исследование Netskope показало, что с конца 2021 года многочисленные хакерские группы начали использовать законные облачные сервисы для размещения файлов PowerPoint, которые с помощью зловредных макросов могут атаковать целевые устройства.
В Netskope говорят, что доминируют три семейства вредоносных программ: Warzone (также известная как AveMaria) и AgentTesla — оба из которых являются мощными троянами удаленного доступа (RAT), а также похитителями криптовалюты.
Исследователи утверждают, что файл PowerPoint содержит запутанный макрос, который выполняется комбинацией встроенных инструментов Windows, PowerShell и MSHTA.
После выполнения сценарий VBS создает новую запись Windows и выполняет два дополнительных сценария, один из которых загружает AgentTesla , а другой отключает встроенное антивирусное решение Windows-Microsoft Defender.
Хотя известно, что AgentTesla крадет пароли браузера , нажатия клавиш, содержимое буфера обмена и подобные данные, очень мало известно (и делится Netskope) о Warzone.
Третья полезная нагрузка — это похититель криптовалюты, который сканирует буфер обмена в поисках данных, соответствующих криптовалютному кошельку. Если он его найдет, то при следующем копировании криптовалютного кошелька жертва вставит другой, принадлежащий злоумышленникам.
Исследователи призывают с осторожностью открывать ссылки на файлы PowerPoint от ненадежных источников.
Startpack подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Он содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было