Neuer Phishing-Angriff missbraucht PowerPoint-Dateien zur Verbreitung von Malware
Bedrohungsakteure haben sich einen weiteren Weg ausgedacht, um Zielsysteme zu infiltrieren und Malware zu verbreiten. In einer neuen Kampagne, die von Sicherheitsforschern verfolgt wird, verwenden Angreifer ein wenig bekanntes PowerPoint-Dateiformat, um Malware zu verbreiten und die Systeme der Opfer zu übernehmen.
Weniger bekannter Dateityp, der zum Umhüllen von Malware verwendet wird
Die Angriffe werden von einem Unternehmen verfolgt, das Teil der Sicherheitsfirma Check Point Software ist. In dieser neuen Kampagne verwenden Bedrohungsakteure ein Dateiformat, das zu der Gruppe von Erweiterungen gehört, mit denen Microsoft PowerPoint arbeitet und geöffnet wird, aber eines, das nicht sehr oft verwendet wird.
Die Angriffe verwenden .ppam-Dateien – ein Add-In-Dateiformat für PowerPoint-Präsentationen. Der Dateityp enthält zusätzliche Befehle und Makros, die in anderen PowerPoint-Dateitypen nicht vorhanden sind.
Forscher verfolgen die Angriffe auf PowerPoint-Dateien seit Januar 2022. Die Angreifer verwenden die .ppam-Dateien, um ausführbare Dateien zu verpacken, die zur Übernahme von Systemen verwendet werden. Die Dateien werden mithilfe von Phishing -E-Mails verbreitet, deren Text sich auf eine gefälschte Bestellung bezieht und das Opfer auffordert, mit einer Rechnung zu antworten.
Die bösartige ausführbare Datei, die in die .ppam-Datei eingeschlossen ist, kann Windows-Registrierungswerte schreiben und Persistenz erreichen, während sie den Speicher des Opfersystems überwacht. Der wenig bekannte Dateityp bedeutet, dass die in der .ppam-Datei enthaltene Nutzlast Sicherheitsmaßnahmen auf dem Zielsystem umgehen kann.
.PPAM-Dateien könnten Ransomware übertragen
Sicherheitsforscher skizzierten die Gefahr, die von einem seltener verwendeten Dateityp ausgeht. Durch das Verpacken der bösartigen Payload in eine Datei, die normalerweise nicht von automatisierten Sicherheitsmaßnahmen gescannt wird, können Angreifer jede gewünschte ausführbare Payload liefern, einschließlich Ransomware. Tatsächlich erwähnten die Forscher, die die aktuelle Kampagne verfolgten, dass eine .ppam-Datei bereits im Oktober 2021 bei einem Ransomware-Angriff verwendet wurde.
Abgesehen von der Verbesserung der Sandboxing-Maßnahmen und dem Filtern aller Downloads durch eine Sandbox, bevor sie auf dem Zielsystem geöffnet werden, empfehlen die Forscher, dass sich Mitarbeiter des Unternehmens immer an IT-Spezialisten wenden, wenn sie zum ersten Mal auf eine unbekannte Dateierweiterung stoßen.