標籤: PowerPoint

新型病毒!滑鼠滑過PowerPoint,就中毒

趨勢科技 TrendMicro

 

趨勢科技最近發現另一種散播惡意軟體的獨特方法,當滑鼠停在PowerPoint投影片超連接的圖片或文字時就會中毒。

 

以偽裝的發票或採購訂單,包裝成PPSX或PPS檔案,誘使企業採購相關承辦人點擊

POWHOV.A木馬  以偽裝的發票或採購訂單,包裝成微軟PowerPoint Open XML Slide Show(PPSX)或PowerPoint Show(PPS)檔案,誘使企業採購相關承辦人點擊。

提醒您:PPS/PPSX跟PowerPoint投影片檔案(PPT或PPTX)不同,PPSX或PPS檔案打開就直接是投影模式,而後者可以進行編輯。

一旦受害者下載並打開檔案,將滑鼠移過內嵌惡意連結的文字或圖片即會觸發滑鼠懸停動作,內容被啟用後,內嵌的惡意PowerShell腳本會被執行下載另一個JScript編碼檔案格式(JSE)的下載程式(JS_NEMUCOD.ELDSAUGH),最後會從命令與控制(C&C)伺服器取得有效載荷。

並且在安全提示視窗跳出時選擇啟用內容。

由於微軟預設停用可疑檔案的內容,透過Office後期版本的保護瀏覽功能來減少Office功能被惡意使用,像是巨集和物件連結與嵌入(OLE)。因此,引誘受害人打開檔案並啟用惡意內容在系統上執行的關鍵是社交工程(social engineering )陷阱。

出現安全通知/提示的惡意PPSX檔案樣本

出現安全通知/提示的惡意PPSX檔案樣本  繼續閱讀

《小廣和小明的資安大小事 》令主管無力的辦公室小鮮肉

趨勢科技 TrendMicro

13

日本資安漫畫 banner

 

只有密碼能放心嗎?

登入社群網站及網路購物等網站時,大多數必須輸入帳號/密碼。帳號/密碼機制可用來證明存取該網站的是本人,防止其他人擅自登入。如果將各個網站比喻為住家,帳號/密碼就像是住家的鑰匙。

但是,即使採用帳號/密碼進行認證,若被惡意的第三者發現帳號/密碼,或是遭到盜取時,就可能會被盜用身份而非法登入。就像是家裡的鑰匙被偷走而遭到入侵一樣。

近年來,採用兩步驟驗證的網際網路服務持續增加。 繼續閱讀

Windows 零時差弱點 CVE-2014-4114,被用來從事網路間諜活動 ,別輕易開啟陌生人寄來的PowerPoint檔案

趨勢科技 TrendMicro
更新:【新聞快訊】微軟CVE-2014-4114 PPTX/PPSX 零時差攻擊 已現身台灣

微軟 Windows 作業系統零時差弱點 CVE-2014-4114
 漏洞 弱點攻擊
微軟在週二發布的例行性安全公告,其中由 iSights 所發現的零時差漏洞 CVE-2014-4114,此漏洞影響 Vista 之後所有版本的 Windows作業系統 與 Windows Server 2008及2012。據趨勢科技調查顯示,一個俄羅斯的駭客團體已透過此一漏洞來發動攻擊活動(Sandworm) ,目標是竊取與攻擊北大西洋公約組織 (NATO)與歐盟等企業與重要人士的資料。 這項漏洞存在於Windows作業系統中的OLE Package Manager,透過Office PowerPoint文件觸發該漏洞,會下載並執行特定的INF檔案,並下載任意程式碼。根據報導,一群名為「Sandworm Team」(沙蟲小隊) 的駭客利用此漏洞 (CVE-2014-4114) 來從事網路間諜活動。據稱,此漏洞從 2013 年 8 月開始即已流傳至今:「主要是製成特殊的 PowerPoint 文件當成武器使用」。此漏洞的詳細內容如下:

  • 此漏洞存在於 Microsoft Windows 系統與伺服器當中的 OLE 封裝管理程式。
  • OLE 封裝程式 (packager) 可下載並執行 INF 檔案。「在所觀察到的案例中,尤其是在處理 Microsoft PowerPoint 檔案時,封裝程式可讓封裝的 OLE 物件參照任意外部非信任來源的檔案,如 INF 檔案。」
  • 當攻擊得逞時,此漏洞可讓駭客從遠端執行任意程式碼。

趨勢科技產品已經可以偵測利用此漏洞的病毒程式,病毒名稱為” TROJ_MDLOAD.PGTY”。當開啟駭客製作的 Power Point檔案之後,會下載一個INF檔惡意程式(被偵測為” INF_BLACKEN.A”),並嘗試下載與執行一支被偵測為”BKDR_BLACKEN.A”的後門程式。 詳細病毒資訊請參考下列連結。

TROJ_MDLOAD.PGTY
https://about-threats.trendmicro.com/malware.aspx?language=en&name=TROJ_MDLOAD.PGTY
INF_BLACKEN.A
https://about-threats.trendmicro.com/malware.aspx?language=en&name=INF_BLACKEN.A
BKDR_BLACKEN.A
https://about-threats.trendmicro.com/malware.aspx?language=en&name=BKDR_BLACKEN.A

由於此一攻擊方式並不特別複雜,很有可能導致駭客們大量濫用,趨勢科技所提供的Smart Protection Network可即時偵測透過本漏洞所執行的惡意程式。

趨勢科技 Deep Security 客戶建議措施:

趨勢科技的 APT 防護解決方案已可針對此漏洞進行防護,透過”惡意文件指紋偵測引擎” (ATSE靜態引擎)成功偵測並攔阻此社交工程之惡意文件。

另外趨勢科技用戶請盡快更新最新防毒元件,以偵測此病毒程式。若有使用TrendMicro Deep Security與OfficeScan IDF plug-in的用戶們可套用下方DPI規則進行偵測。

  • 1006290 – Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114)
  • 1006291  Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114) – 1

此外,我們建議用戶盡快針對此一Windows作業系統的漏洞進行修補,在完成修補前,不要隨意開啟陌生人寄來的PowerPoint檔案,以降低被攻擊的風險。

 

◎ 原文參考出處:MS Zero-Day Used in Attacks Against European Sectors, Industries