Angribere søger ofte efter sårbarheder, gennem hvilke de kan udnytte maskinen og installere malware. Denne gang er en sårbarhed i Windows Object Linking Embedding (OLE) udnyttet via Microsoft PowerPoint af angriberen.

I henhold til en rapport fra sikkerhedsfirmaet Trend Micro er den mest almindelige type interface, der bruges til at udnytte sårbarheden, brugen af ​​Rich Text File. Alt dette gøres ved at bære en maskerade af PowerPoint-lysbilledshows. Mode operandi er dog temmelig typisk, en e-mail, der indeholder en vedhæftet fil, sendes. Indhold i e-mailen er klargjort på en sådan måde, at det får modtagerens øjeblikkelige opmærksomhed og også maksimerer chancerne for et svar.

Det vedhæftede dokument er tilsyneladende en PPSX-fil, som er et filformat, der er knyttet til PowerPoint. Dette format tilbyder kun afspilning af dias, men redigeringsindstillingerne er låst ud. Hvis filen åbnes, vil den bare vise følgende tekst, ' CVE-2017-8570. (En anden sårbarhed for Microsoft Office.) '.

I virkeligheden vil åbning af filen udløse en udnyttelse af en anden sårbarhed kaldet CVE-2017-0199, og derefter vil den aflæse den ondsindede kode via PowerPoint-animationerne. Til sidst vil en fil kaldet logo.doc blive downloadet. Dokumentet består af en XML-fil med JavaScript-kode, der bruges til at køre en PowerShell-kommando og downloade det ondsindede program kaldet 'RATMAN.exe.' som er en Trojan-fjernadgang kaldet.

Trojan kan optage tastetryk, fange screenshots, optage videoer og også downloade anden malware. I det væsentlige vil angriberen have fuld kontrol over din computer og kan bogstaveligt talt forårsage alvorlig skade ved at stjæle alle dine oplysninger, herunder bankadgangskoder. Brug af PowerPoint-fil er et smart touch, da antivirusmotoren søger efter RTF-fil.

Alt i alt har Microsoft allerede rettet sårbarheden tilbage i april, og dette er en af ​​grundene til, at vi foreslår, at folk holder deres pc opdateret. Endnu et tip er at undgå at downloade vedhæftede filer fra ukendte kilder, bare ikke gør det.