Через PowerPoint файлы и PowerShell распространяется опасный троян

Исследователи из антивирусной компании SantinelOne выявили интересную технику распространения вредоноса Zusy при помощи PowerPoint-презентации. В отличие от стандартного выполнения кода посредством макросов, вредонос использует для этого PowerShell-сценарий.

PowerPoint-презентация с вредоносом распространяется при помощи спам-рассылки с темой писем “Purchase Order #130527” или “Confirmation”. После того, как пользователь откроет файл, на экране он увидит “Loading…Please wait”.

PowerShell-сценарий запускается при наведении мыши на надпись. Встроенные механизмы защиты Microsoft Office не дают ему возможности запуститься автоматически. В большинстве случаев пользователю будет выведено сообщение с запросом на разрешение запуска внешнего приложения:

Вредонос обращается к C&C-серверу, используя доменное имя cccn.nl (IP: 46.21.169.110).

Источник http://www.securitylab.ru/

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*