Опасный троян распространяется через PowerPoint файлы и PowerShell

image

Теги: вредонос, PowerPoint

Выполнение полезной нагрузки осуществляется через PowerShell-сценарий вместо обычного макроса.

Исследователи из антивирусной компании SantinelOne обнаружили любопытную технику распространения вредоноса Zusy с помощью PowerPoint-презентации. В отличии от стандартного выполнения кода посредством макросов, вредонос использует PowerShell-сценарий для выполнения кода.

PowerPoint-презентация с вредоносом распространяется посредством спам рассылки с темой писем “Purchase Order #130527” или “Confirmation”.

После открытия файла вместо обычного макроса, свойственного подобным кампаниям, на экране отображается строка “Loading…Please wait”. 


Запуск PowerShell-сценария осуществляется при наведении мыши на надпись. Встроенные механизмы защиты Microsoft Office не позволяют сценарию запуститься автоматически. В большинстве случаев пользователю будет выведено сообщение с запросом на разрешение запуска внешнего приложения:


Вредонос обращается к C&C-серверу используя доменное имя cccn.nl (IP: 46.21.169.110 ).

С полной версией отчета можно ознакомиться здесь .

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.