PowerPoint prezentációval terjeszt káros programokat a Fancy Bear

Az APT 28 vagy Fancy Bear néven is ismert hackercsoport egy látszólag PowerPoint prezentációval, valamint egy új kódvégrehajtási módszer segítségével telepít rosszindulatú programokat.

A Custer25 kiberbiztonsági cég jelentése szerint a módszer lényege, hogy amikor a felhasználó diavetítés módban megnyitja a prezentációt és megmozgatja a kurzort, akkor aktiválódik a kódvégrehajtás, amely során futtatásra kerül egy PowerShell szkript, ami a OneDrive-ról letölti és futtatja a dropper alkalmazást. A dropper látszólag ártalmatlan  képfájlnak tűnik, valójában azonban a Graphite néven ismert rosszindulatú program egy változata, ami a Microsoft Graph API-t és a OneDrive-ot használja a vezérlőszerverrel történő kommunikációhoz.

A támadás során alkalmazott PowerPoint prezentáció látszólag a párizsi székhelyű nemzetközi gazdasági szervezet, a Gazdasági Együttműködési és Fejlesztési Szervezet (OECD) által használt sablonnal készült. A kiberművelettel feltehetően főleg az európai védelmi és kormányzati szektor munkatársait, valamint – geopolitikai szempontból érintett – magánszemélyeket vették célba.

(thehackernews.com)