A Netskope’s Threat Labs által közzé tett jelentés szerint 2021 decembere óta olyan újfajta adathalász módszer figyelhető meg, amelyben a kiberbűnözők nem csak adatokat lopnak, hanem PowerPoint fájlokat használnak olyan trójaiak terjesztésére, amelyekkel távoli hozzáférést szerezhetnek a felhasználó eszközei felett.
A nyomon követett kampányban két RAT-ot (Remote Access Trojan) azonosítottak, a Warzone-t és az AgentTesla-t. A rosszindulatú PowerPoint adathalász melléklet obfuszkált makrót tartalmaz, amelyet a PowerShell és az MSHTA kombinációjával hajtanak végre. Mindkettő beépített Windows eszköz. A VBS szkriptet ezután deobfuszkálják és új Windows registry bejegyzéseket adnak hozzá a perzisztencia érdekében, ami két szkript végrehajtásához vezet. Az első az AgentTeslát egy külső URL címről hívja le, a második pedig letiltja a Windows Defendert. A VBS létrehoz egy ütemezett feladatot, óránként végrehajtva egy szkriptet, amely egy PowerShell kriptopénzlopót hív meg egy Blogger URL-ről. Az AgentTesla egy olyan .NET-alapú RAT, amely képes böngészőjelszavakat lopni, billentyűleütéseket naplózni vagy a vágólap tartalmát ellopni.
2021 decemberében a Fortinet egy hasonló DHL témájú kampányról számolt be, amely szintén PowerPoint dokumentumokat használt az AgentTeslával való fertőzésre. Ezt a dokumentumtípust is ugyanolyan éberséggel kell kezelni mint a Word és Excel fájlokat, mivel a .ppt fájlokban található makrók ugyanolyan veszélyesek lehetnek. A legmegbízhatóbb védelmi intézkedés az, hogy a felhasználók minden kéretlen kommunikációt óvatosan kezelnek, és letiltják a Microsoft Office programcsomag makróit.