Napadalci pogosto iščejo ranljivosti, s katerimi lahko izkoristijo stroj in namestijo zlonamerno programsko opremo. Tokrat napadalci izkoriščajo ranljivost v vdelavi za povezovanje predmetov Windows (OLE) prek Microsofta PowerPoint.

Glede na poročilo varnostnega podjetja Trend Micro je najpogostejša vrsta vmesnika, ki se uporablja za izkoriščanje ranljivosti, uporaba datoteke z bogatim besedilom. Vse to se naredi z nošenjem maske PowerPoint diapozitivov. Modus operandi pa je precej značilen, pošlje se e-poštno sporočilo s priponko. Vsebina v e-poštnem sporočilu je pripravljena tako, da dobi prejemnika takojšnjo pozornost in poveča možnosti za odgovor.

Očitno je priloženi dokument datoteka PPSX, ki je oblika datoteke, povezana s programom PowerPoint. Ta oblika ponuja samo predvajanje diapozitiva, vendar so možnosti urejanja zaklenjene. V primeru, da se datoteka odpre, bo prikazalo naslednje besedilo, „ CVE-2017-8570. (Še ena ranljivost za Microsoft Office.) '.

V resnici bo odpiranje datoteke sprožilo še eno ranljivost, imenovano CVE-2017-0199, nato pa bo zlonamerno kodo naložilo prek PowerPoint animacij. Sčasoma se bo prenesla datoteka z imenom logo.doc. Dokument je sestavljen iz datoteke XML z kodo JavaScript, ki se uporablja za zagon ukaza PowerShell in nalaganje zlonamernega programa z imenom 'RATMAN.exe.' ki je Trojan na oddaljeni dostop.

Trojanec lahko snema pritiske tipk, snema posnetke zaslona, ​​snema videoposnetke in nalaga tudi drugo zlonamerno programsko opremo. V bistvu bo napadalec imel popoln nadzor nad vašim računalnikom in lahko dobesedno povzroči hudo škodo, če ukrade vse vaše podatke, vključno z bančnimi gesli. Uporaba datoteke PowerPoint je pameten dotik, saj bo antivirusni mehanizem iskal RTF datoteko.

Povedano in storjeno je Microsoft že v aprilu začrtal ranljivost in to je eden od razlogov, zakaj ljudem predlagamo, da posodabljajo svoj računalnik. Še en najpomembnejši nasvet pa je, da se izogibate nalaganju prilog iz neznanih virov, samo tega ne storite.