Microsoft の有名なプレゼンテーション ソフトウェアである PowerPoint が、再び著作権侵害の被害に遭っています。 Netskope の IT セキュリティ研究者によると、ハッカーは現在、PowerPoint ドキュメントを使用して、トロイの木馬や暗号通貨泥棒などのマルウェアを配布しています。
ここ数年、PowerPoint はハッカーの主な標的となっています。例には事欠きません。すでに2017年には、ハッカーは PowerPoint を使用してユーザーの PC に侵入しました、セキュリティの脆弱性の悪用のおかげで。同年に発生した別の Microsoft Office の脆弱性により、攻撃者は次のようなことを可能にしました。Word、PowerPoint、または Excel のユーザーを対象とする。
そして、Netskope のコンピュータ セキュリティ研究者が私たちに語ったところによると、ハッカーによるこの PowerPoint の使用は止まりそうにありません。 2021 年末以降、多くのハッカー グループが正規のクラウド サービスを使用して悪意のある PowerPoint ファイルをホストする。攻撃者は、強力なマクロを利用して、あらゆる種類のマルウェアを標的のデバイスに展開できます。
こちらもお読みください:この非常に危険なマルウェアはディスクをフォーマットしても生き残ることができます
PowerPoint がハイジャックされてデジタル ウォレットを空にする
これらの専門家の調査によると、現在 3 つのマルウェア ファミリが優勢です: Warzone と Agent Tesla。どちらも強力なリモート アクセス トロイの木馬 (RAT) であり、暗号通貨泥棒です。研究者らによると、このPowerPointファイルには難読化されたマクロが含まれており、このマクロは組み込みのWindowsツール、PowerShell、MSHTAの組み合わせによって実行されるという。
VBS スクリプトが起動されると、Windows に新しいエントリが作成され、他の 2 つのスクリプトが実行されます。最初のダウンロード AgentTesla、 その間もう 1 つは Windows の組み込みウイルス対策ソリューションを無効にします、つまりマイクロソフトディフェンダー。 Agent Tesla がブラウザから入力されたパスワード、キーストローク、さらにはクリップボードの内容を盗むために使用されていることを知っていても、Warzone の行動についてはほとんどわかっていません。
3 番目のペイロードに関しては、これは暗号通貨泥棒であり、まずクリップボードをスキャンして、デジタル ウォレットに関連する識別子とコードを探します。このデータが見つかると、ハッカーはそれらを自分のデジタルウォレットのコードに置き換えます。実際、被害者は気付かないうちに攻撃者に直接資金を送金する可能性が十分にあります。この状況は非常に危機的であるため、Microsoft はユーザーを保護するために Excel 4.0 マクロをデフォルトで無効にすることを選択しました。
ソース :テックレーダー