攻撃者は多くの場合、マシンを悪用してマルウェアをインストールする脆弱性を探しています。 今回は、Windows Object Linking Embedding（OLE）の脆弱性が、攻撃者によってMicrosoft PowerPointを介して悪用されています。

セキュリティ会社のトレンドマイクロのレポートによると、この脆弱性を悪用するために使用される最も一般的な種類のインターフェイスは、リッチテキストファイルの使用です。 これはすべて、PowerPointスライドショーのマスカレードを着ることによって行われます。 しかし、手口は非常に典型的であり、添付ファイルを含む電子メールが送信されます。 電子メールのコンテンツは、受信者の即時の注意を引き、応答の可能性を最大化するような方法で準備されます。

どうやら、添付ドキュメントは、PowerPointに関連付けられたファイル形式であるPPSXファイルです。 この形式はスライドの再生のみを提供しますが、編集オプションはロックアウトされています。 ファイルを開く場合、次のテキスト ' CVE-2017-8570のみが表示されます。 （Microsoft Officeの別の脆弱性。） '

実際には、ファイルを開くと、CVE-2017-0199という別の脆弱性の悪用がトリガーされ、PowerPointアニメーションを介して悪意のあるコードがオフロードされます。 最終的に、logo.docというファイルがダウンロードされます。 ドキュメントは、PowerShellコマンドを実行し、「RATMAN.exe」という悪意のあるプログラムをダウンロードするために使用されるJavaScriptコードを含むXMLファイルで構成されています。 これは、と呼ばれるリモートアクセストロイの木馬です。

このトロイの木馬は、キーストロークの記録、スクリーンショットのキャプチャ、ビデオの記録、およびその他のマルウェアのダウンロードを行うことができます。 本質的に、攻撃者はコンピューターを完全に制御し、銀行のパスワードを含むすべての情報を盗むことで、文字通り深刻な損害を引き起こす可能性があります。 アンチウイルスエンジンはRTFファイルを検索するため、PowerPointファイルの使用は巧妙です。

マイクロソフトは既に4月に脆弱性にパッチを適用しており、これがPCを最新の状態に保つことを推奨する理由の1つです。 さらにもう1つの典型的なヒントは、未知のソースから添付ファイルをダウンロードしないようにすることです。