然而，研究人员比来发明，一种全新的进击手段开端以恶意PPT文件为载体，经由过程鼠标悬停事宜履行PowerShell代码。这些名为“order.ppsx”或“invoice.ppsx”的文件经由过程垃圾邮件进行分发，其主题多为“采购订单#130527”或“待确认事项”等，假装成商务邮件进行进击。

近日，收集犯法者开辟出了一种新型进击技巧，它可以应用发送PPT文件和鼠标悬停来让用户履行随便率性代码，并下载恶意法度榜样。

应用经由特制的Office文件——特别是Word文档来传播恶意软件其实并不少见，词攀类进击平日依附社会工程学(对受害者心理弱点、本能反竽暌功、好奇心、信赖、贪婪等心理陷阱进行诸如欺骗、伤害等伤害手段)来欺骗受害者，诱使其启用文档中嵌入的VBA宏。

安然专家RubenDanielDodge进行的分析显示，当恶意PPT被打开时，它将显示为一个可以点击的超链接，文本是“正在加载……请等待”。

有趣的部分来了。这种新型进击方法的恐怖之处是，只要用户将鼠标悬停在恶意链接上，即使你并没有点击，也会触发履行PowerShell代码。一般来说，大年夜多半版本的Office都邑默认启用安然防护功能，通知用户一些常见的风险，提示用户启用或禁用某些内容，但词攀类保护对悬停进击却成效甚微。别的，这种进击也不须要用户启用宏来履行代码，而是应用外部法度榜样功能。

如不雅受害者中招，PowerShell代码将被履行并连接到网站“cccn.nl”。接下来就是惯例套路了，随后会大年夜该域名下载文件并履行，最终安排恶意法度榜样downloader。

Dodge This Security博客在针对该恶意法度榜样的分析中提到，首张PPT Slide1的“rID2”元素定义中可见其PowerShell敕令，如上图所示。而下面这张图中标注的红色部分，就是悬停动作的具体定义了。

RubenDanielDodge已经在文中颁布了其IoC。很不幸的是，他们发明这种进击方法在此之前就已经有人在用了——被用来传播一种网银木马的变种，没错，就是大年夜名鼎鼎的“Zusy”、“Tinba”或被称为“TinyBanker”。

关于PPT送达恶意软件为何会有这么多人中招，Sentinel One是如许分析的：

用户仍然习惯于许可外部法度榜样运行，因为他们老是既懒又忙，要不就是樊篱了宏就认为高枕而卧了。并且，一些设备可能在外部法度榜样中履行起来比用宏更便利。

当然，这种进击也并非无往晦气。有安然公司指出，如不雅应用Power Point Viewer打开恶意PPT文件即可使进击掉效。别的，大年夜多半版本的Office在履行代码之前都邑警告用户，固然效不雅有限，但在某些情况下也可以挽回部分损掉。

【编辑推荐】

1. 64BitCentOS5.5单网卡设备PPTPD办事器
2. OpenVZ VPS搭建PPTP VPN的办法
3. PPTP-vpn与L2TP-vpn的差别
4. 若何用Android智妙手机劫持一架飞机（附PPT下载）
5. 破解点对点地道协定(PPTP)加密类型的VPN

【义务编辑：51CTO_OS TEL：（010）68476606】

　　推荐阅读

　　Windows 10新版Build 16215推送：UI风格、功能大提升

本次更新的内容异常丰富，主如果因为微软上周误发了Build 16212，所以不得不在原筹划的16203上杂糅了16212。起重要说的变更就是全新的操作/通知中间，融入了Fluent Design设计说话，且显示>>>详细阅读

本文标题：无需宏，PPT也能用来投递恶意程序

地址：http://www.17bianji.com/lsqh/35685.html

 1/2    1