微软 powerpoint 被用作攻击媒介下载恶意软件
2017-08-17 11:18:22
安全公司趋势科技于近期发布一份研究报告,指出网络犯罪分子通过微软 利用 windows 对象链接嵌入(ole)界面中的漏洞安装恶意软件。
调查显示,该漏洞接口通常被恶意 rtf 文件利用,即恶意软件伪装成 ppsx 文件,这是一种仅允许播放幻灯片的 powerpoint 文件,但不可编辑。如果接收器下载并打开它,内容将显示漏洞文本。
该文档实际上是一个具有 javascript 代码的 xml 文件,该代码运行 powershell 命令下载名为 “ratman.exe” 的新程序,这是一种名为 remcos 的远程访问工具的特洛伊木马版本,之后建立与 command&control 服务器的连接。
remcos 可以记录击键,截取屏幕截图,录制视频和音频,并下载更多恶意软件。此外,它还可以让攻击者完全控制受感染的计算机。为了保护自身,恶意文件使用了一个未知的 .net 保护器,这使安全研究人员难以对其进行分析。最终,由于 cve-2017-0199 的检测方法专注于 rtf 文件,因此使用 powerpoint 文件允许攻击者逃避防病毒检测。但是,趋势科技确实注意到,微软已经在 4 月份通过最新安全补丁解决了这个漏洞。
官方微信