Zusy PowerPoint Malware nepotřebuje makra pro šíření

Malware často přichází v balíčku, který vypadá neškodně. Jakmile na ni klikne oběť, začne se malware šířit jako otevřená plejáda červů a převezme kontrolu nad počítačem oběti. Typicky, v takových útoků, když uživatel povolí makra, je malware spuštěn. Zdá se však, že nový malware nevyžaduje dokonce ani balení maker pro jeho rozšíření. Jedna taková nejnovější hrozba je Zusy PowerPoint Malware. Jak název napovídá, tento malware se šíří Přílohy aplikace PowerPoint.

malware

Office Macros jsou v podstatě malé kousky kódu napsané v jazyce Visual Basic (VBA), které umožňují provádět vybrané opakované úlohy. Jsou užitečné samy o sobě, ale mnohokrát spisovatelé malware zneužívají tuto funkci, aby zaváděli škodlivý software do vašeho počítačového systému.

A Makrovírus je virus, který využívá makra, které běží v aplikacích Microsoft Office, jako jsou aplikace Microsoft Word, PowerPoint nebo Excel. Počítačové zločince vám posílají makro infikované užitečné zatížení nebo soubor, který později stahuje škodlivý skript, e-mailem a použije předmět, který vás zajímá nebo vás provokuje při otevírání dokumentu. Když otevřete dokument, makro spustí, aby vykonal jakýkoli úkol, který kriminál chce.

Zusy PowerPoint Malware

Jak uvádí server SentinelOne Labs, aplikace Zusy PowerPoint Malware se šíří jako soubor aplikace PowerPoint připojený k spamovým e-mailům s názvy jako "Objednávka #130527"A"Potvrzení". Jak již bylo uvedeno výše, tento malware nevyžaduje, aby uživatel povolil spouštění maker. Většina malwaru Office potřebuje uživatele k tomu, aby aktivovali makra, aby si stáhli nějakou spustitelnou užitečnou zátěž, která dělá většinu škodlivých věcí. Nicméně, Zusy PowerPoint Malware používá externí program pro šíření svých škodlivých aktivit.

SentinelOne Labs uvádí ukázkové detaily škodlivého softwaru Zusy. Jedná se o následující:

Vzorek SHA256es:

  • PowerPoint dropper: 796a386b43f12b99568f55166e339fcf43a4792d292bdd05dafa97ee32518921.
  • First-stage JSE payload: 55821b2be825629d6674884d93006440d131f77bed216d36ea20e4930a280302
  • Second-stage EXE payload 55c69d2b82addd7a0cd3bebe910cd42b7343bd3faa7593356bcdca13dd73a0ef

V jejich zprávě se také uvádí, jak funguje malware Zusy:

Když uživatel otevře škodlivý soubor aplikace PowerPoint, zobrazí se obrazovka s jedním odkazem "Načítání prosím čekejte":

Když se uživatel pohybuje nad adresou URL, dojde ke škodlivému softwaru. Pouze vznášedla způsobí, že aplikace PowerPoint spustí externí program. SentinelOne Labs se zmíní o tom, že je to "powershell" plus malý skript, který stahuje další užitečné zatížení.

Malware však nezačíná šíření, ani se kód nevykoná automaticky, jakmile je soubor otevřen. Uživatelé dostanou standardní varování z Office 2013 i Office 2010. Malware se dostává do akce pouze kdy uživatelé umožňují externí programy; protože jsou líní, spěchají, nebo se používají pouze k blokování maker. Některé konfigurace mohou být také přípustnější při spouštění externích programů než v makrech.

Zajímavá část je, že prohlížeč aplikace PowerPoint není vůbec zranitelný, protože odmítá spustit program. Program Zusy PowerPoint Malware se spouští pomocí příkazu shellu.

Společnost SentinelOne Labs stále vyšetřuje tento malware podrobněji. Doporučuje se, aby uživatelé nezaváděli žádné neznámé nebo podezřelé přílohy systému Office, aby se zabránilo útoku na jakýkoli takový malware. Další informace o škodlivém softwaru Zusy PowerPoint naleznete v přehledu SentinelOne Labs.

Zdroj

Napsat komentář

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.