Hyökkääjät etsivät usein haavoittuvuuksia, joiden avulla he voivat hyödyntää konetta ja asentaa haittaohjelmia. Tällä kertaa hyökkääjät hyödyntävät Windows Object Linking Embedding -sovelluksen (OLE) haavoittuvuutta Microsoft PowerPointin kautta.

Turvayrityksen Trend Micro raportin mukaan yleisin käyttöliittymätyyppi, jota käytetään haavoittuvuuden hyödyntämiseen, on Rich Text File -sovelluksen käyttö. Kaikki tämä tehdään pitämällä PowerPoint-diaesitysten naamiointia. Toimintatapa on kuitenkin melko tyypillinen, liite sisältävä sähköposti lähetetään. Sähköpostin sisältö luetaan uudelleen siten, että se saa vastaanottajan välittömän huomion ja maksimoi myös vastausmahdollisuudet.

Ilmeisesti liitetty asiakirja on PPSX-tiedosto, joka on PowerPoint-tiedostoon liittyvä tiedostomuoto. Tämä muoto tarjoaa vain diojen toiston, mutta muokkausasetukset lukitaan. Jos tiedosto avataan, siinä näytetään vain seuraava teksti ' CVE-2017-8570. (Toinen Microsoft Office -haavoittuvuus.) '.

Todellisuudessa tiedoston avaaminen laukaisee toisen CVE-2017-0199-nimisen haavoittuvuuden hyödyntämisen, ja sitten se poistaa haitallisen koodin PowerPoint-animaatioiden kautta. Lopulta tiedosto, nimeltään logo.doc, ladataan. Asiakirja koostuu XML-tiedostosta, jossa on JavaScript-koodi ja jota käytetään PowerShell-komennon suorittamiseen ja haittaohjelman nimeltä 'RATMAN.exe' lataamiseen. joka on etäkäyttöön tarkoitettu troijalainen.

Troijalainen voi tallentaa näppäilyjä, kaapata kuvakaappauksia, tallentaa videoita ja ladata myös muita haittaohjelmia. Pohjimmiltaan hyökkääjä on täysin tietokoneesi hallinnassa ja voi kirjaimellisesti aiheuttaa vakavia vahinkoja varastamalla kaikki tietosi, myös pankkisalasanat. PowerPoint-tiedoston käyttö on fiksu kosketus, koska viruksentorjuntaohjelma etsii RTF-tiedostoa.

Kaiken kaikkiaan, Microsoft on jo korjannut haavoittuvuuden jo huhtikuussa, ja tämä on yksi syy, miksi suosittelemme ihmisiä pitämään tietokoneidensa päivityksiä. Vielä yksi olennainen vinkki on välttää liitteiden lataaminen tuntemattomista lähteistä, älä vain tee sitä.