Nuevo ataque de phishing utiliza archivos de PowerPoint para propagar malware
Los actores de amenazas han ideado otra forma de infiltrarse en los sistemas de destino y propagar malware. En una nueva campaña que está siendo rastreada por investigadores de seguridad, los malhechores están utilizando un formato de archivo de PowerPoint poco conocido para propagar malware y apoderarse de los sistemas de las víctimas.
Tipo de archivo menos conocido utilizado para empaquetar malware
Los ataques están siendo rastreados por una empresa que forma parte de la firma de seguridad Check Point Software. En esta nueva campaña, los actores de amenazas utilizan un formato de archivo que pertenece al grupo de extensiones con las que trabaja y abre Microsoft PowerPoint, pero que no se usa con mucha frecuencia.
Los ataques utilizan archivos .ppam, un formato de archivo adicional para presentaciones de PowerPoint. El tipo de archivo incluye comandos y macros adicionales que no se encuentran en otros tipos de archivos de PowerPoint.
Los investigadores han estado rastreando los ataques de archivos de PowerPoint desde enero de 2022. Los malos actores están usando los archivos .ppam para envolver los ejecutables que se usan para tomar el control de los sistemas. Los archivos se difunden mediante correos electrónicos de phishing con texto relacionado con una orden de compra falsa y una solicitud para que la víctima responda con una factura.
El archivo ejecutable malicioso envuelto dentro del archivo .ppam tiene la capacidad de escribir valores de registro de Windows y lograr persistencia mientras monitorea la memoria del sistema de la víctima. El tipo de archivo poco conocido significa que la carga contenida dentro del archivo .ppam puede eludir las medidas de seguridad en el sistema de destino.
Los archivos .PPAM podrían generar ransomware
Los investigadores de seguridad describieron el peligro que representa un tipo de archivo de uso menos frecuente. Al envolver la carga útil maliciosa dentro de un archivo que normalmente no se analiza mediante medidas de seguridad automatizadas, los malhechores pueden entregar cualquier carga útil ejecutable que deseen, incluido el ransomware. De hecho, los investigadores que rastrearon la campaña actual mencionaron que se utilizó un archivo .ppam en un ataque de ransomware en octubre de 2021.
Además de mejorar las medidas de sandboxing y filtrar todas las descargas a través de un sandbox antes de abrirlas en el sistema de destino, los investigadores recomiendan que el personal de la empresa siempre se comunique con los especialistas de TI cuando encuentren una extensión de archivo desconocida por primera vez.