根据安全公司Avanan的调查,一个PowerPoint附件正被用来传播恶意文件。
Avanan的Jeremy Fuchs说。ppam文件——它有额外的命令和定制宏——正被黑客用来“包装可执行文件”。
该公司从今年1月开始注意到攻击载体,指出.ppam文件被用来包装可执行文件,使黑客能够“控制最终用户的电脑”。大多数攻击都是通过电子邮件进行的。
“在这次攻击中,黑客显示的是一个普通的购买订单电子邮件,一个非常标准的网络钓鱼信息。电子邮件的附件是一个。ppam文件。一个。ppam文件是一个PowerPoint插件,它扩展并添加了某些功能。然而,这个文件实际上包装了一个恶意的过程,注册表设置将被覆盖,”Fuchs说。
“使用.ppam文件…黑客可以包装并隐藏恶意文件。在这种情况下,该文件将覆盖Windows中的注册表设置,允许攻击者控制计算机,并通过持久驻留在计算机的内存中保持自己的活动。”
由于.ppam文件很少被使用,黑客们找到了一种绕过安全工具的方法。Fuchs补充说,这种攻击方式可能被用来传播勒索软件,并指出10月份的一起事件中,一个勒索软件组织确实在一次攻击中使用了这种文件类型。
Vectra软件即服务部门的副总裁Aaron Turner表示,微软协作套件的无处不在使其成为攻击者的最爱,而最近的PowerPoint攻击是20多年来微软Office文件被利用的最新例子。
“对于依赖Exchange在线发送电子邮件的组织来说,他们应该检查在微软365 Defender门户中配置的反恶意软件策略。或者,如果有很高的攻击风险,需要在防御者策略之外解决,特定的附件文件类型可以用专用的。ppam阻止策略作为Exchange在线邮件流策略,”Turner说。
“当我们对Exchange Online运行我们的姿态评估扫描时,我们会检查配置的策略,并将其与我们建议的屏蔽100多种不同类型的文件进行比较。作为这项研究的结果,我们将把。ppam添加到我们的文件扩展名列表中来阻止,因为这个特定的PowerPoint文件扩展名相对晦涩,使用率也很低。”
