近日，網(wǎng)絡(luò)犯罪者開(kāi)發(fā)出了一種新型攻擊技術(shù)，它可以利用發(fā)送PPT文件和鼠標(biāo)懸停來(lái)讓用戶(hù)執(zhí)行任意代碼，并下載惡意程序。

　　使用經(jīng)過(guò)特制的Office文件——特別是Word文檔來(lái)傳播惡意軟件其實(shí)并不少見(jiàn)，此類(lèi)攻擊通常依靠社會(huì)工程學(xué)(對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段)來(lái)欺騙受害者，誘使其啟用文檔中嵌入的VBA宏。 　　然而，研究人員最近發(fā)現(xiàn)，一種全新的攻擊手段開(kāi)始以惡意PPT文件為載體，通過(guò)鼠標(biāo)懸停事件執(zhí)行PowerShell代碼。這些名為“order.ppsx”或“invoice.ppsx”的文件通過(guò)垃圾郵件進(jìn)行分發(fā)，其主題多為“采購(gòu)訂單#130527”或“待確認(rèn)事項(xiàng)”等，偽裝成商務(wù)郵件進(jìn)行攻擊。 　　安全專(zhuān)家RubenDanielDodge進(jìn)行的分析顯示，當(dāng)惡意PPT被打開(kāi)時(shí)，它將顯示為一個(gè)可以點(diǎn)擊的超鏈接，文本是“正在加載……請(qǐng)等待”。 　　有趣的部分來(lái)了。這種新型攻擊方式的可怕之處是，只要用戶(hù)將鼠標(biāo)懸停在惡意鏈接上，即使你并沒(méi)有點(diǎn)擊，也會(huì)觸發(fā)執(zhí)行PowerShell代碼。一般來(lái)說(shuō)，大多數(shù)版本的Office都會(huì)默認(rèn)啟用安全防護(hù)功能，通知用戶(hù)一些常見(jiàn)的風(fēng)險(xiǎn)，提示用戶(hù)啟用或禁用某些內(nèi)容，但此類(lèi)保護(hù)對(duì)懸停攻擊卻成效甚微。另外，這種攻擊也不需要用戶(hù)啟用宏來(lái)執(zhí)行代碼，而是使用外部程序功能。 　　如果受害者中招，PowerShell代碼將被執(zhí)行并連接到網(wǎng)站“cccn.nl”。接下來(lái)就是常規(guī)套路了，隨后會(huì)從該域名下載文件并執(zhí)行，最終部署惡意程序downloader。 　　Dodge This Security博客在針對(duì)該惡意程序的分析中提到，首張PPT Slide1的“rID2”元素定義中可見(jiàn)其PowerShell命令，如上圖所示。而下面這張圖中標(biāo)注的紅色部分，就是懸停動(dòng)作的具體定義了。 　　無(wú)需宏，PPT也能用來(lái)投遞惡意程序 　　RubenDanielDodge已經(jīng)在文中公布了其IoC。很不幸的是，他們發(fā)現(xiàn)這種攻擊方式在此之前就已經(jīng)有人在用了——被用來(lái)傳播一種網(wǎng)銀木馬的變種，沒(méi)錯(cuò)，就是大名鼎鼎的“Zusy”、“Tinba”或被稱(chēng)為“TinyBanker”。 　　關(guān)于PPT投遞惡意軟件為何會(huì)有這么多人中招，Sentinel One是這樣分析的： 　　用戶(hù)仍然習(xí)慣于允許外部程序運(yùn)行，因?yàn)樗麄兛偸羌葢杏置?，要不就是屏蔽了宏就以為高枕無(wú)憂了。而且，一些配置可能在外部程序中執(zhí)行起來(lái)比用宏更方便。 　　當(dāng)然，這種攻擊也并非無(wú)往不利。有安全公司指出，如果使用Power Point Viewer打開(kāi)惡意PPT文件即可使攻擊失效。另外，大多數(shù)版本的Office在執(zhí)行代碼之前都會(huì)警告用戶(hù)，雖然效果有限，但在某些情況下也可以挽回部分損失。