Une nouvelle attaque de phishing abuse des fichiers PowerPoint pour propager des logiciels malveillants
Les acteurs de la menace ont trouvé un autre moyen d'infiltrer les systèmes cibles et de diffuser des logiciels malveillants. Dans une nouvelle campagne suivie par des chercheurs en sécurité, des acteurs malveillants utilisent un format de fichier PowerPoint peu connu pour diffuser des logiciels malveillants et prendre le contrôle des systèmes des victimes.
Type de fichier moins connu utilisé pour envelopper les logiciels malveillants
Les attaques sont suivies par une société qui fait partie de la société de sécurité Check Point Software. Dans cette nouvelle campagne, les acteurs de la menace utilisent un format de fichier qui appartient au groupe d'extensions avec lesquelles Microsoft PowerPoint fonctionne et s'ouvre, mais qui n'est pas utilisé très souvent.
Les attaques utilisent des fichiers .ppam - un format de fichier complémentaire pour les présentations PowerPoint. Le type de fichier comprend des commandes et des macros supplémentaires introuvables dans d'autres types de fichiers PowerPoint.
Les chercheurs suivent les attaques de fichiers PowerPoint depuis janvier 2022. Les mauvais acteurs utilisent les fichiers .ppam pour envelopper les exécutables utilisés pour prendre le contrôle des systèmes. Les fichiers sont diffusés à l'aide d'e-mails de phishing contenant du texte lié à un faux bon de commande et une demande pour que la victime réponde par une facture.
Le fichier exécutable malveillant enveloppé dans le fichier .ppam a la capacité d'écrire des valeurs de registre Windows et d'obtenir une persistance tout en surveillant la mémoire du système victime. Le type de fichier peu connu signifie que la charge utile contenue dans le fichier .ppam peut esquiver les mesures de sécurité sur le système cible.
Les fichiers .PPAM pourraient fournir un ransomware
Les chercheurs en sécurité ont souligné le danger que représente un type de fichier moins fréquemment utilisé. En enveloppant la charge utile malveillante dans un fichier qui n'est généralement pas analysé par des mesures de sécurité automatisées, les acteurs malveillants peuvent fournir n'importe quelle charge utile exécutable qu'ils souhaitent, y compris les ransomwares. En fait, les chercheurs qui ont suivi la campagne actuelle ont mentionné qu'un fichier .ppam avait été utilisé dans une attaque de ransomware en octobre 2021.
Outre l'amélioration des mesures de bac à sable et le filtrage de tous les téléchargements via un bac à sable avant de les ouvrir sur le système cible, les chercheurs recommandent que le personnel de l'entreprise contacte toujours les spécialistes informatiques lorsqu'ils rencontrent une extension de fichier inconnue pour la première fois.