PowerPoint используется как приманка для распространения вредоносных программ

PowerPoint используется как приманка для распространения вредоносных программ. Фото: Pexels

Новое исследование Netskope показало, что с конца 2021 года многочисленные хакерские группы начали использовать законные облачные сервисы для размещения файлов PowerPoint, которые с помощью зловредных макросов могут атаковать целевые устройства.

В Netskope говорят, что доминируют три семейства вредоносных программ: Warzone (также известная как AveMaria) и AgentTesla — оба из которых являются мощными троянами удаленного доступа (RAT), а также похитителями криптовалюты.

Исследователи утверждают, что файл PowerPoint содержит запутанный макрос, который выполняется комбинацией встроенных инструментов Windows, PowerShell и MSHTA.

После выполнения сценарий VBS создает новую запись Windows и выполняет два дополнительных сценария, один из которых загружает AgentTesla , а другой отключает встроенное антивирусное решение Windows-Microsoft Defender.

Хотя известно, что AgentTesla крадет пароли браузера , нажатия клавиш, содержимое буфера обмена и подобные данные, очень мало известно (и делится Netskope) о Warzone.

Третья полезная нагрузка — это похититель криптовалюты, который сканирует буфер обмена в поисках данных, соответствующих криптовалютному кошельку. Если он его найдет, то при следующем копировании криптовалютного кошелька жертва вставит другой, принадлежащий злоумышленникам. 

Исследователи призывают с осторожностью открывать ссылки на файлы PowerPoint от ненадежных источников.

Startpack подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Он содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Хакеры маскируют атаки под обновление Microsoft Edge.
• Google призывает создать частно-государственное партнёрство для безопасности ПО с открытым кодом.
• Хакеры используют Adobe Creative Cloud для сбора учетных данных пользователей.
• Keeper Security хочет помочь сохранить онлайн-секреты.