据外媒 6 月 5 日报道,安全专家近期发现网络犯罪分子正利用一种新型攻击技术传播恶意软件,即通过 PowerPoint 演示文稿诱导用户在系统中下载执行恶意代码。
据悉,网络犯罪分子利用目标受害者鼠标的悬停操作自动执行恶意 PowerPoint 文件中所附带的 PowerShell 代码。目前,名为 “ order.ppsx ” 或 “ invoice.ppsx ” 的附件正通过垃圾邮件传播,其邮件主题包括 “ 采购订单#130527 ” 与 “ 确认函 ” 等。
调查显示,当用户打开 PowerPoint 演示文稿时会看到标注 “ 正在加载……请等待 ” 字样的蓝色超链接。如果用户将鼠标悬停在该链接上,即使不点击也会触发 PowerShell 代码执行操作。一旦用户打开该文档,PowerShell 代码就会被连接至 “ cccn.nl ” 域名并下载执行负责传送恶意软件程序的文件。
安全研究人员表示,用户设备中受视图保护的安全功能会通知用户操作风险,并提示用户启用或禁用该项操作。此外,SentinelOne 研究人员在分析此次攻击活动时还观察到网络犯罪分子利用该技术传播银行木马 Zusy、Tinba 与 Tiny Banker 新变种。
原作者:Pierluigi Paganini,译者:青楚 ,译审:游弋
from hackernews.cc.thanks for it.