Uzbrucēji bieži meklē ievainojamības, caur kurām viņi var izmantot mašīnu un instalēt ļaunprātīgu programmatūru. Šoreiz uzbrucēji, izmantojot Microsoft PowerPoint, izmanto nepilnības Windows objekta saistīšanas iegulšanā (OLE).

Kā minēts drošības firmas Trend Micro ziņojumā, visizplatītākais interfeisa veids, ko izmanto, lai izmantotu ievainojamību, ir bagātinātā teksta faila izmantošana. Tas viss tiek darīts, nēsājot PowerPoint slaidšovu maskarādes. Modus operandi tomēr ir diezgan tipisks, tiek nosūtīts e-pasts ar pielikumu. E-pasta saturs tiek sagatavots tādā veidā, ka tas saņem tūlītēju adresāta uzmanību un arī palielina atbildes iespējas.

Acīmredzot pievienotais dokuments ir PPSX fails, kas ir faila formāts, kas saistīts ar PowerPoint. Šis formāts piedāvā tikai slaida atskaņošanu, bet rediģēšanas iespējas ir izslēgtas. Gadījumā, ja fails tiks atvērts, tajā parādīsies tikai šāds teksts: “ CVE-2017-8570. (Vēl viena Microsoft Office ievainojamība.) ”.

Faktiski faila atvēršana izraisīs citas ievainojamības, kuras nosaukums ir CVE-2017-0199, izmantošanu, un pēc tam, izmantojot PowerPoint animācijas, tas tiks izlādēts no ļaunprātīgā koda. Galu galā tiks lejupielādēts fails ar nosaukumu logo.doc. Dokumentu veido XML fails ar JavaScript kodu, ko izmanto, lai palaistu komandu PowerShell un lejupielādētu ļaunprātīgo programmu ar nosaukumu “RATMAN.exe”. kas ir attālas piekļuves Trojas zirgs, uz kuru attiecas.

Trojas zirgs var reģistrēt taustiņsitienus, tvert ekrānuzņēmumus, ierakstīt video un lejupielādēt arī citu ļaunprātīgu programmatūru. Būtībā uzbrucējs pilnībā kontrolēs jūsu datoru un burtiski var radīt nopietnu kaitējumu, nozagdams visu jūsu informāciju, ieskaitot banku paroles. PowerPoint faila izmantošana ir saprātīgs pieskāriens, jo pretvīrusu dzinējs meklēs RTF failu.

Viss teiktais un paveiktais liecina, ka Microsoft jau aprīlī ir ielabojis ievainojamību jau aprīlī, un tas ir viens no iemesliem, kāpēc mēs iesakām ļaudīm saglabāt sava datora atjauninājumus. Vēl viens būtisks padoms ir izvairīties no pielikumu lejupielādes no nezināmiem avotiem, vienkārši nedariet to.