Trend Micro сообщает о том, что хакеры стали использовать уязвимость в Windows Object Linking Embedding (OLE) не через файлы формата RTF, а через презентации PowerPoint. Таким образом, им удается загружать вредоносные приложения на компьютеры пользователей, обходя внимание антивирусов.



Для начала заражения через обычные электронные письма распространяется опасная презентация в формате PPSX, где пользователю сообщается о каком-то заказе с прикрепленным файлом с информацией. Код запускается через анимацию в слайд-шоу, используя уязвимость CVE-2017-0199, скачивается файл logo.doc. С помощью javascript файл запускает команду на скачивание программы RATMAN.exe через PowerShell.
Скачанный файл представляет собой троян Remcos, устанавливающим связь с определенным удаленным сервером. Троян может следить за набранным на клавиатуре текстом, делать снимки экрана, а также записывать аудио, видео, скачивать другие зловредные приложения на компьютер и дает полный доступ к компьютеру. Ранее метод скачивания через уязвимость CVE-2017-0199 проходил только через RTF-документы и поэтому на презентации антивирусы могут не реагировать.