Napadači često traže ranjivosti pomoću kojih mogu iskorištavati stroj i instalirati zlonamjerni softver. Ovaj put napadači iskorištavaju ranjivost u ugrađivanju URE-a za povezivanje objekata (OLE) putem Microsoftovog PowerPointa.

Prema izvještaju zaštitarske tvrtke Trend Micro, najčešća vrsta sučelja koje se koristi za iskorištavanje ranjivosti je uporaba datoteke obogaćenog teksta. Sve to se događa nošenjem maskare PowerPoint prezentacija. Modus operandi je, međutim, prilično tipičan, šalje se poruka e-pošte s prilogom. Sadržaj u e-poruci spreman je na način da privuče neposrednu pozornost primatelja i povećava šanse za odgovor.

Očito, priloženi dokument je PPSX datoteka koja je format datoteke povezan s PowerPointom. Ovaj format nudi reprodukciju dijapozitiva, ali mogućnosti uređivanja su isključene. U slučaju da se datoteka otvori, prikazat će se sljedeći tekst, ' CVE-2017-8570. (Još jedna ranjivost za Microsoft Office.) '.

U stvarnosti, otvaranje datoteke pokrenut će iskorištavanje za drugu ranjivost pod nazivom CVE-2017-0199 i tada će ukloniti zlonamjerni kod putem PowerPoint animacija. Na kraju će se preuzeti datoteka pod nazivom logo.doc. Dokument je sastavljen od XML datoteke s JavaScript kodom koja se koristi za pokretanje naredbe PowerShell i preuzimanje zlonamjernog programa pod nazivom 'RATMAN.exe.' što je trojanski udaljeni pristup.

Trojanac može snimati pritiske tipki, snimati snimke zaslona, ​​snimati videozapise i preuzimati drugi zlonamjerni softver. U biti, napadač će imati potpunu kontrolu nad vašim računalom i doslovno može nanijeti ozbiljnu štetu krađu svih vaših podataka, uključujući bankarske lozinke. Upotreba datoteke PowerPoint pametan je dodir jer će antivirusni mehanizam pretraživati ​​RTF datoteku.

Sve što je rečeno i učinjeno, Microsoft je već u travnju zakrpio ranjivost i to je jedan od razloga zašto mi predlažemo ljudima da ažuriraju svoje računalo. Još jedan od najvažnijih savjeta je izbjegavanje preuzimanja privitaka iz nepoznatih izvora, samo nemojte to činiti.