PowerPoint文件被滥用以接管计算机

研究人员发现，攻击者正在使用不为人知的PowerPoint文件隐藏恶意可执行文件，这些可执行文件可以重写Windows注册表设置以接管最终用户的计算机。

这是威胁行为者最近通过他们日常使用的受信任应用程序，使用旨在逃避安全检测并看似合法的电子邮件，以秘密方式攻击桌面用户的众多方式之一。

Check Point公司Avanan的一项新研究揭示了PowerPoint中一个“鲜为人知的插件”——.ppam文件——是如何被用来隐藏恶意软件的。Avanan的网络安全研究员兼分析师Jeremy Fuchs在周四发布的一份报告中写道，该文件具有奖励命令和自定义宏等功能。

从1月份开始，研究人员观察到攻击者会发送带有恶意意图的社会工程电子邮件，其中包含了.ppam文件附件。

电子邮件攻击向量

例如，在活动中观察到的一封电子邮件据称是向收件人发送采购订单。Fuchs说，附加的.ppam文件名为PO04012022，它看起来是合法的，并且其中包括一个恶意可执行文件。

有效载荷在最终用户的机器上执行了许多未经用户授权的函数，包括安装创建和打开新进程的新程序、更改文件属性以及动态调用导入的函数。

Fuchs写道：“通过将采购订单电子邮件的潜在紧迫性与危险文件相结合，这种攻击包含了一个可以摧毁最终用户和公司的双重打击。”

他说，该活动允许攻击者使用一个不太常用的文件绕过计算机的现有安全性——在本例中是由谷歌提供的安全性——因此不会触发电子邮件扫描仪。

“此外，它显示了该文件的潜在危险，因为它可用于包装任何类型的恶意文件，包括勒索软件，”Fuchs写道。

事实上，在10月份，有报道称攻击者正在使用.ppam文件来包装勒索软件，他引用了网络安全门户网站PCrisk10月份发布的关于Ppam勒索软件的报告如此说道。

针对桌面用户

研究人员最近发现了几个新的基于电子邮件的活动之一，这些活动针对的是使用Microsoft Office、Google Docs和Adobe Creative Cloud等常用文字处理和协作应用程序的桌面用户。攻击者通常使用电子邮件传送窃取用户信息的恶意文件或链接。

去年11月，有报道称骗子正在使用合法的Google Drive协作功能来诱骗用户点击电子邮件中的恶意链接或推送邀请他人共享Google文档的通知。这些链接将用户引导至窃取其凭据的网站。

随后，Avanan研究人员在12月发现的一波网络钓鱼攻击主要针对Outlook用户，利用Google Docs的“评论”功能发送恶意链接，从而窃取受害者的凭据。

上个月，Avanan团队报告了研究人员在12月观察到的另一个骗局，其中发现威胁行为者在Adobe Cloud套件中创建帐户，并发送看似合法的图像和PDF，但却将恶意软件传递给Office 365和Gmail用户。

缓解和预防

为避免受到电子邮件诈骗的威胁，Fuchs向安全管理员推荐了一些典型预防措施。

一种是安装电子邮件保护，将所有文件下载到沙箱中并检查它们是否存在恶意内容。另一个方法是采取额外的安全措施——例如动态分析电子邮件的危害指标（IoC）——以确保进入公司网络的邮件的安全。

“这封电子邮件未通过SPF检查，发件人的历史声誉微不足道，”Fuchs在谈到Avanan研究人员观察到的网络钓鱼邮件时写道。SPF（Sender Policy Framework）是一种电子邮件身份验证技术，用于防止垃圾邮件发送者和其他不良行为者发送来自另一个域名的欺骗性邮件。

他补充说，公司还应不断鼓励其网络中的最终用户，如果他们通过电子邮件收到不熟悉的文件，请联系他们的IT部门。