Un gruppo di hacker che si ritiene siano di origine russa ha cominciato a sfruttare una nuova tecnica per diffondere ed eseguire codice malevolo che si basa sul movimento del mouse nelle presentazioni di PowerPoint al fine di attivare uno script PowerShell in realtà dannoso.
PowerPoint: mouseover per diffondere malware
A rendere nota la cosa è stata la società di intelligene Cluster25, la quale ha appunto comunicato che l’infezione avviene in seguito all’apertura di un file PPT apparentemente proveniente dall’OCSE (Organizzazione per la Cooperazione e lo Sviluppo Economico), ma in realtà compromesso.
All’interno del file sono presenti due diapositive con istruzioni scritte in inglese e in francese per l’utilizzo dell’opzione Interpretation sulla piattaforma Zoom. C’è poi un collegamento che lancia uno script PowerShell malevolo al passaggio mouse, mediante l’utility SyncAppvPublishingServer, senza necessità di clic da parte dell’utente.
L’infezione avviene mediante il download di un file JPEG denominato DSC0002.jpeg da un account OneDrive. In realtà è una DLL (chiamata lmapi2.dll) successivamente decifrata e collocata nella cartella C:\ProgramData\ del disco fisso del PC. In un secondo momento, la DLL viene attivata da rundll32.exe e si crea una chiave nel registro di sistema. La medesima procedura viene attuata con un altro file JPEG compromesso, dopodiché viene eseguito il download del malware Graphite che colpisce Microsoft GraphAPI.
Al fine di evitare di andare incontro a problemi di sicurezza sul proprio computer è sempre bene installare un buon software antivirus, come Avast Premium Security che propone il 45% di sconto sull'abbonamento annuale per 1 dispositivo e 47% di sconto sull'abbonamento annuale per dieci dispositivi.