Malware infecta PCs através de arquivos do PowerPoint

De acordo com informações recentes, um novo malware está infectando PCs usando scripts do PowerShell incorporados em arquivos do PowerPoint (.ppt).

Novo malware infecta PCs usando scripts do PowerShell em arquivos do PowerPoint

Você provavelmente já deve ter ouvido falar de ataques que utilizam arquivos do Office, mais especificamente do Word, para infectar PCs usando macros.

No caso da nova variante do novo malware, ele faz isso utilizando scripts do PowerShell incorporados em arquivos .ppt do PowerPoint ao invés de macros.

Outro detalhe é que o script é executado no computador da vítima assim que ela posiciona o cursor do mouse sobre o link para o arquivo malicioso. Com isso será feito o download de outros arquivos maliciosos sem que seja necessário clicar no link.

Nas versões mais recentes do Office o modo protegido vem habilitado por padrão, por isso o alerta na imagem abaixo é exibido. Nas versões mais antigas o script será executado automaticamente com sucesso.

Novo malware infecta PCs usando scripts do PowerShell em arquivos do PowerPointSe o usuário ignorar o alerta e permitir a execução, o script iniciará uma conexão com o domínio “cccn.nl” e fará o download de um novo arquivo que será executado automaticamente para instalar a nova variante do Zusy, um trojan criado para roubar informações como credenciais de internet banking.

A versão original do Zusy foi descoberta em 2012 e é capaz de injetar novos campos de informação em sites legítimos de instituições financeiras, com isso os usuários podem inserir informações como número de cartão de crédito e outras sem saber que elas cairão direto nas mãos dos criminosos.

O arquivo do PowerPoint chega anexado em emails falsos com títulos como ‘Purchase Order #130527‘ e ‘Confirmation‘. Habilitar ou desabilitar a execução de macros nos aplicativos do Office não faz nenhuma diferença neste caso.

via Baboo

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *