Zusy PowerPoint Malware tidak memerlukan Macros untuk disebarkan

Malware sering datang dalam pakej yang kelihatan tidak berbahaya. Sebaik sahaja mangsa mengklik padanya, malware mula menyebarkan seperti cacing terbuka cacing dan mengawal PC mangsa. Lazimnya, dalam serangan sedemikian, apabila pengguna membolehkannya Makro, malware itu akan dilaksanakan. Walau bagaimanapun, nampaknya malware baru tidak memerlukan pembungkusan makro untuk menyebarkannya. Salah satu ancaman terkini adalah Zusy PowerPoint Malware. Seperti namanya, malware ini merebak melalui Lampiran PowerPoint.

malware

Pejabat Makro pada dasarnya adalah bit kecil kod yang ditulis dalam Visual Basic (VBA), yang membolehkan anda menjalankan tugas berulang pilih. Mereka berguna sendiri, tetapi banyak penulis malware kali menyalahgunakan fungsi ini untuk memperkenalkan malware ke dalam sistem komputer anda.

A Macro virus adalah virus yang mengambil kesempatan daripada Macros yang dijalankan dalam aplikasi Microsoft Office seperti Microsoft Word, PowerPoint atau Excel. Penjenayah siber menghantar anda muatan yang dimiliki makro atau fail yang kemudiannya akan memuat turun skrip yang berniat jahat, melalui e-mel dan menggunakan baris subjek yang menarik atau menimbulkan masalah kepada anda untuk membuka dokumen. Apabila anda membuka dokumen itu, makro berjalan untuk melaksanakan apa sahaja tugas yang dikehendaki oleh jenayah.

Zusy PowerPoint Malware

Seperti yang dilaporkan oleh SentinelOne Labs, Zusy PowerPoint Malware menyebarkan sebagai fail PowerPoint yang melekat pada e-mel spam dengan tajuk seperti "Pesanan Pembelian #130527"Dan"Pengesahan". Seperti yang disebutkan sebelumnya, malware ini tidak memerlukan pengguna untuk membolehkan makro dilaksanakan. Kebanyakan malware Pejabat memerlukan pengguna untuk mengaktifkan makro untuk memuat turun beberapa muatan yang boleh dilaksanakan, yang mana kebanyakan barangan yang berniat jahat. Walau bagaimanapun, Zusy PowerPoint Malware menggunakan ciri program luaran untuk menyebarkan aktiviti berniat jahatnya.

SentinelOne Labs memberikan butiran sampel Zusy Malware. Ini adalah seperti berikut:

Contoh SHA256es:

  • PowerPoint dropper: 796a386b43f12b99568f55166e339fcf43a4792d292bdd05dafa97ee32518921.
  • First-stage JSE payload: 55821b2be825629d6674884d93006440d131f77bed216d36ea20e4930a280302
  • Second-stage EXE payload 55c69d2b82addd7a0cd3bebe910cd42b7343bd3faa7593356bcdca13dd73a0ef

Laporan mereka juga menyebut bagaimana perisian malware Zusy berfungsi:

Apabila pengguna membuka fail PowerPoint yang berniat jahat, ia menunjukkan skrin dengan satu pautan yang mengatakan "Muat turun sila tunggu":

Apabila pengguna melayang ke URL, malware itu mula bertindak. Hanya melayang menyebabkan PowerPoint untuk melaksanakan program luaran. SentinelOne Labs menyebut, ia adalah powerhell ditambah skrip kecil yang memuatkan muatan tambahan.

Tetapi, malware tidak mula menyebar atau bahkan kod tidak akan dilaksanakan secara automatik sebaik sahaja fail dibuka. Pengguna mendapat amaran teruk dari Office 2013 dan Office 2010 secara lalai. Malware ini hanya berlaku apabila pengguna mendayakan program luaran; kerana mereka malas, terburu-buru, atau mereka hanya digunakan untuk menyekat makro. Juga, beberapa konfigurasi mungkin lebih berminat dalam melaksanakan program luaran daripada mereka dengan makro.

Bahagian yang menarik ialah penonton PowerPoint nampaknya tidak terdedah sama sekali kerana ia enggan melaksanakan program tersebut. The Zusy PowerPoint Malware mendapat dilaksanakan melalui perintah shell.

SentinelOne Labs masih menyiasat malware ini dengan lebih terperinci. Pengguna dicadangkan tidak membuka lampiran Pejabat yang tidak diketahui atau mencurigakan untuk mengelakkan serangan dari sebarang malware seperti itu. Untuk maklumat lanjut mengenai Zusy PowerPoint Malware, baca laporan oleh Makmal SentinelOne.

Source

Sila tinggalkan balasan anda

Laman web ini menggunakan Akismet untuk mengurangkan spam. Ketahui bagaimana data komen anda diproses.