【無孔不入】PowerPoint 附加插件遭用作散播惡意檔案
安全公司 Avanan 上月發現,有 Powerpoint 的添加功能被用於傳播惡意檔案。Avanan 的代表 Jeremy Fuchs 指出, .ppam 檔案具有額外的指令和自定義巨集指令,被黑客用來包裝成可執行檔案。
該公司指出 .ppam 檔案讓黑客能夠操控終端用戶的電腦,而大多數攻擊都是透過電子郵件進行。Fuchs 表示,在這次攻擊中,黑客以一個普通採購訂單電子郵件作入侵途徑,就如一般所見的網絡釣魚郵件的模樣,電郵附件是一個 .ppam 檔案。.ppam 檔案是一個 PowerPoint 增益集的檔案類型,能擴展 Powerpoint 功能。但這個附件實際上是包含了惡意程式。使用 .ppam 檔案令黑客可以隱藏惡意文件,該檔案將覆蓋 Windows 中的註冊表設置,令攻擊者能夠控制受害人的電腦,並在電腦的內置存存空間中透過持續駐留來保持活動狀態。
由於 .ppam 文件的使用頻率很低,黑客找到了繞過安全工具的方法。 Fuchs 補充說,這種攻擊方法可用於傳播勒索軟件,並指出 10 月份發生的一宗事故,勒索軟件組織在攻擊期間也使用了該檔案類型。
Vectra SaaS Posture 副總裁 Aaron Turner 表示,微軟協作套件因常用而成為攻擊者的最愛,而這是最新藉 PowerPoint 漏洞利用作攻擊的最新示例。對於依靠 Exchange Online 接收電子郵件的機構組織,Turner 建議他們應該查看在其 Microsoft 365 Defender portal 中配置的反惡意軟件策略。如果存在需要在 Defender 策略以外而要解決的高攻擊風險,可以在專用的 .ppam 阻止策略中,阻止該附件檔案類型流入。
Turner 續指,對 Exchange Online 運行狀態評估掃描時,應檢查配置的策略,並將之與該公司建議阻擋的過百種不同檔案類型列表作比較,而按這次研究的結果,他們已把 .ppam 添加到該檔案列表中。