EXPLICACIONES SOBRE EL FUNCIONAMIENTO DE LA PROPAGACION DE INFECCIONES CON SOLO POSICIONAR EL MOUSE SOBRE ENLACES A PPTs DE POWERPOINT

Varias compañías de seguridad han detectado una campaña de spam que ha intentado distribuir software malicioso a través de una técnica innovadora: un enlace en una presentación de PowerPoint.

El ataque funciona así:

Una presentación maliciosa Open XML en Microsoft PowerPoint (PPSX) o una presentación de PowerPoint (PPS) es distribuida como archivo adjunto en un correo electrónico falso (factura, orden de compra, lo que sea).

Las víctimas descargan el archivo, lo ejecutan y se encuentran con un simple enlace (o imagen) en el archivo.

Las víctimas están desconcertadas y colocan el puntero del ratón sobre el enlace para descubrir a dónde conduce.

Este simple movimiento dispara una acción “mouseover” que conduce a una ventana emergente de advertencia de seguridad (Microsoft deshabilita el contenido de archivos sospechosos por defecto, mediante el uso de “vista protegida”).

Los usuarios que permanecen curiosos y permiten que el programa se ejecute ya sea al dar clic en el botón “Habilitar todo” o “Habilitar” y comienzan una reacción en cadena: un script embebido de PowerShell se ejecuta para instalar un descargador en forma de archivo codificado JScript (JSE), el cual recupera el payload final de un servidor de mando y control (en este caso, un troyano bancario).

Esta campaña de malware ha sido dirigida en contra de empresas en Europa y Reino Unido, de fabricación de dispositivos, educación, logística y pirotecnia. Fue limitado y los investigadores de Trend Micro creen que puede ser solo un ejercicio para probar la nueva técnica.

“El tiempo dirá si este nuevo vector de infección gana popularidad entre los criminales. El hecho de que no se necesite una macro es nuevo y los disparadores en la actividad del ratón es un movimiento inteligente”, indicó el investigador de seguridad Jérôme Segura. “No hay duda de que los actores de la amenaza seguirán apareciendo con varios giros para abusar del elemento humano”.

Y aunque hay una serie de cosas que los administradores de sistemas/empresas de TI pueden hacer para proteger a los empleados de este tipo de amenazas, los usuarios individuales (caseros) deben confiar en los filtros proporcionados por sus proveedores de correo electrónico para bloquear dichos correos, actualizar su antivirus para encontrar y detener el malware y su propia capacidad para detectar tácticas de ingeniería social.

Además, de acuerdo con SentinelOne, los usuarios de la herramienta PowerPoint Viewer probablemente están a salvo ya que Viewer se niega a ejecutar la secuencia de comandos maliciosa.

Ver información original al respecto en Fuente:
https://www.seguridad.unam.mx/prueban-nueva-tecnica-de-distribucion-de-spam