Opaki virus krije se u PowerPointu: Aktivira se čim uradite ovaj potez i opasniji je nego što mislite
Istražni tim u sigurnosnoj kompaniji SentinelOne otkrio je grupu hakera koji koriste inficirane datoteke PowerPointa kako bi distribuirali Zusy, bankarskog trojanca, takođe poznatog kao Tinba (Tiny Banker - mali bankar)
Nedavno je otkrivena pretnja koja se krije u poznatom prezentacijskom programu Microsofta - PowerPointu, a koja može da ugrozi velki broj korisnika ovog softvera.
Naime, hakeri već duže vreme koriste decenije stare makroe u datotekama kako bi hakovali računare kroz specijalno stvorene dokumente za Microsoft Office (pogotovo Word) koje priključe spamerskim mailovima.
Nažalost, nedavno je otkrivena nova pretnja koja ne zahteva to da korisnici imaju uključene makroe, već se aktivira preko PowerShell komandi unutar datoteka.
Zlonamerni kod u PowerShellu aktivira se čim žrtva pređe mišem preko linka, nakon čega se na računar skine dodatni sadržaj bez otvaranja dokumenta.
Istražni tim u sigurnosnoj kompaniji SentinelOne otkrio je grupu hakera koji koriste inficirane datoteke PowerPointa kako bi distribuirali Zusy, bankarskog trojanca, takođe poznatog kao Tinba (Tiny Banker - mali bankar). Zusy je otkriven još 2012. i cilja stranice za online banking, dajući hakerima informacije poput korisnikovih bankovnih računa, brojeva kreditnih kartica i tokena za aktivaciju.
- Nova vrsta malware-a pod imenom Zusy pojavila se u divljini te se širi putem PowerPoint datoteka priključenih spamerskim mailovima s naslovom 'Purchase Order #130527' i 'Confirmation'. Reč je o vrlo zanimljivoj vrsti virusa koji ne zahteva to da žrtva ima uključene makroe - piše na službenom blogu SentinelOnea.
Inficirane datoteke PowerPointa distribuiraju se putem spama te, kada se otvore, ispisuju tekst 'Loading... Please Wait'. Kada korisnik mišem prođe iznad linka, on automatski aktivira PowerShell kod. Na sreću, većina novijih Officea, poput Officea 2013 i Officea 2010, prvo upozori korisnika i pita ih da li žele da aktiviraju ili deaktivirjau sadržaj.
Ako korisnik zbog nekog razloga zanemari upozorenje te dopusti pregled sadržaja, zlokobni program će se spojiti na stranicu 'cccn.nl' sa koje će povući i pokrenuti datoteku kojom na računar instalira trojanca Zusy.
- Korisnici bi i dalje mogli da nekako aktiviraju eksterne programe zato što su lenji, zato što im se žuri i zato što su navikli na blokiranje makroa - kažu iz SentinelOnea. "Neke konfiguracije mogle bi da budu 'popustljivije' u pokretanju eksternih programa nego kada je reč o makroima".
Kompanija naglašava da napad ne može biti izvršen ako je datoteka otvorena u PowerPoint Vieweru koji odbija da pokrene program. Tehnika infekcije bi, naglašavaju, i dalje mogla biti efikasna u određenom broju slučajeva.
(Telegraf.rs)