ΑρχικήSecurityΑρχεία PowerPoint παραδίδουν κακόβουλο λογισμικό με το ποντίκι

Αρχεία PowerPoint παραδίδουν κακόβουλο λογισμικό με το ποντίκι

Κακόβουλοι παράγοντες που πιθανότατα έχουν έδρα τη Ρωσία, χρησιμοποιούν μια νέα τεχνική εκτέλεσης κώδικα που βασίζεται στην κίνηση του ποντικιού, ενεργοποιώντας ένα κακόβουλο σενάριο PowerShell σε παρουσιάσεις Microsoft PowerPoint.

Δείτε επίσης: Πώς να χρησιμοποιήσετε ένα live camera feed στο Microsoft Powerpoint

PowerPoint

Δεν απαιτείται κακόβουλη μακροεντολή για την εκτέλεση και λήψη του ωφέλιμου φορτίου από τον κακόβουλο κώδικα, για μια πιο ύπουλη επίθεση.

Μια αναφορά από την εταιρεία κυβερνοαπειλών Cluster25, λέει ότι η APT28 (γνωστή και ως «Fancy Bear»), μια ομάδα απειλών που συνδέεται με την Κύρια Διεύθυνση Πληροφοριών του Ρωσικού Γενικού Επιτελείου, χρησιμοποίησε τη νέα τεχνική για την παράδοση του κακόβουλου λογισμικού Graphite στις 9 Σεπτεμβρίου.

#secnews #solarstorm #hurricane 

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #solarstorm #hurricane

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lmg4VGJwLS1OZnFR

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα

SecNewsTV 11 hours ago

Ο παράγοντας απειλών δελεάζει τους στόχους με ένα αρχείο PowerPoint (.PPT) που φέρεται να συνδέεται με τον Οργανισμό Οικονομικής Συνεργασίας και Ανάπτυξης (ΟΟΣΑ), έναν διακυβερνητικό οργανισμό που εργάζεται για την τόνωση της οικονομικής προόδου και του εμπορίου παγκοσμίως.

Μέσα στο αρχείο PPT υπάρχουν δύο διαφάνειες, αμφότερες με οδηγίες στα αγγλικά και στα γαλλικά για τη χρήση της επιλογής Ερμηνεία στην εφαρμογή τηλεδιάσκεψης Zoom.

Το αρχείο PPT περιέχει ένα hyperlink που λειτουργεί ως έναυσμα για την εκκίνηση ενός κακόβουλου σεναρίου PowerShell χρησιμοποιώντας το βοηθητικό πρόγραμμα SyncAppvPublishingServer. Αυτή η τεχνική έχει τεκμηριωθεί από τον Ιούνιο του 2017. Πολλοί ερευνητές εξήγησαν εκείνη τη στιγμή πώς λειτουργεί η μόλυνση χωρίς μια κακόβουλη μακροεντολή να είναι ένθετη μέσα σε ένα έγγραφο του Office.

Με βάση τα μεταδεδομένα που βρέθηκαν, το Cluster25 λέει ότι οι χάκερ ετοίμαζαν την καμπάνια μεταξύ Ιανουαρίου και Φεβρουαρίου, αν και οι διευθύνσεις URL που χρησιμοποιήθηκαν στις επιθέσεις εμφανίστηκαν ενεργές τον Αύγουστο και τον Σεπτέμβριο.

Δείτε ακόμα: PowerPoint αρχεία χρησιμοποιούνται για τη διανομή RATs και info-stealers

Οι ερευνητές λένε ότι ο παράγοντας απειλής στοχεύει οντότητες στον αμυντικό και κυβερνητικό τομέα χωρών της Ευρωπαϊκής Ένωσης και της Ανατολικής Ευρώπης και πιστεύουν ότι η εκστρατεία κατασκοπείας βρίσκεται σε εξέλιξη.

κακόβουλο λογισμικό

Όταν ανοίγει το έγγραφο δέλεαρ σε λειτουργία παρουσίασης και το θύμα τοποθετεί το ποντίκι πάνω από ένα hyperlink, ενεργοποιείται ένα κακόβουλο σενάριο PowerShell για τη λήψη ενός αρχείου JPEG (“DSC0002.jpeg”) από έναν λογαριασμό Microsoft OneDrive.

Το JPEG είναι ένα κρυπτογραφημένο αρχείο DLL (lmapi2.dll), το οποίο αποκρυπτογραφείται και αποτίθεται στον κατάλογο ‘C:\ProgramData\‘, αργότερα εκτελείται μέσω του rundll32.exe. Ένα κλειδί μητρώου για επιμονή δημιουργείται επίσης για το DLL.

Στη συνέχεια, το lmapi2.dll ανακτά και αποκρυπτογραφεί ένα δεύτερο αρχείο JPEG και το φορτώνει στη μνήμη, σε ένα νέο νήμα που είχε δημιουργηθεί προηγουμένως από το DLL.

Το Cluster25 διευκρινίζει ότι καθεμία από τις συμβολοσειρές στο αρχείο που ανακτήθηκε πρόσφατα απαιτεί διαφορετικό κλειδί XOR για απεμπλοκή. Το ωφέλιμο φορτίο που προκύπτει είναι το κακόβουλο λογισμικό Graphite σε φορητή εκτελέσιμη μορφή (PE).

Δείτε επίσης: Πώς να αλλάξετε το φόντο στο Microsoft PowerPoint

Το Graphite κάνει κατάχρηση του Microsoft Graph API και του OneDrive για την επικοινωνία με τον διακομιστή εντολών και ελέγχου (C2). Ο παράγοντας απειλής έχει πρόσβαση στην υπηρεσία χρησιμοποιώντας ένα σταθερό αναγνωριστικό πελάτη για να αποκτήσει ένα έγκυρο διακριτικό OAuth2.

Με το νέο διακριτικό OAuth2, το Graphite ρωτά τα Microsoft GraphAPI για νέες εντολές απαριθμώντας τα θυγατρικά αρχεία στον υποκατάλογο ελέγχου OneDrive, εξηγούν οι ερευνητές.

Ο σκοπός του κακόβουλου λογισμικού Graphite είναι να επιτρέψει στον εισβολέα να φορτώσει άλλο κακόβουλο λογισμικό στη μνήμη του συστήματος.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS