PowerPoint phát tán mã độc không cần kích hoạt Macro

09:10 | 20/06/2017

Người dùng có thể đã nhiều lần được cảnh báo về việc tin tặc sử dụng kỹ thuật tấn công dựa trên macro để phát tán mã độc qua tập tin Microsoft office. Tuy nhiên, trong cuộc tấn công mới được phát hiện, tin tặc không cần người dùng kích hoạt Macro mà thay vào đó, sử dụng PowerShell nhúng trong tệp tin PowerPoint để phát tán mã độc.



Mã độc PowerShell ẩn bên trong tài liệu sẽ thực thi lây nhiễm ngay khi người dùng di chuột qua một liên kết, tải xuống máy nạn nhân một payload mà không cần nhấp vào nó. 

Các chuyên gia của công ty SentinelOne đã phát hiện một nhóm tin tặc đang sử dụng các tệp PowerPoint độc hại để phát tán mã độc ngân hàng Zusy (còn được gọi là Tinba hoặc Tiny Banker). 

Được phát hiện vào năm 2012, mã độc Zusy nhằm vào các trang web tài chính và có khả năng theo dõi lưu lượng mạng và thực hiện các cuộc tấn công Man-in-The-Browser (MitB) để đưa các mẫu bổ sung vào các trang web ngân hàng, yêu cầu nạn nhân chia sẻ các dữ liệu quan trọng như số thẻ tín dụng, thẻ xác thực.


Khi người dùng mở file PowerPoint đính kèm, sẽ thấy hiển thị dòng chữ “Loading ... Please Wait” dưới dạng một link liên kết.  Người dùng di chuột qua liên kết, mã PowerShell sẽ tự động được kích hoạt. Tuy nhiên, tính năng bảo vệ Protected View được kích hoạt mặc định trong các phiên bản Office như: Office 2013 và Office 2010 sẽ hiển thị một cảnh báo nghiêm trọng và nhắc người dùng kích hoạt hoặc vô hiệu hóa nội dung. Nếu người dùng bỏ qua lời cảnh báo này và cho phép xem nội dung, chương trình độc hại sẽ kết nối với tên miền "cccn.nl", từ nơi nó tải xuống và thực hiện một tệp, cuối cùng một biến thể mới của mã độc ngân hàng sẽ được phát tán là Zusy.