Nový způsob distribuce malwaru. Na odkaz v prezentaci není nutné ani klepnout

12. 6. 2017

Sdílet

 Autor: Redakce

Jak se může počítač nakazit malwarem? K typickým případům patří hypertextový odkaz v nevyžádané či podvodné zprávě, který otevřete. Stáhnete soubor, spustíte jej a dílo je dokonáno. Distribuce může být ovšem také automatická, takže o ní nemusíte vědět. Vraťme se k prvnímu případu – zdá se, že už na vložené odkazy nemusíte nutně klepat myší.

Čerstvý výskyt jednoho trojského koně odhalil novinku. Odkaz se škodlivým kódem je vložený do prezentace pro PowerPoint. Kupodivu stačí, když nad něj najedete ukazatelem myši – infekce se tedy obejde bez klepnutí. Jak je to možné? Tentokrát se útočnictvo nespoléhá na klasické „hity“ jako makra nebo (Java)skripty.

Při tomto útoku je zneužit Windows PowerShell. Podvratné je, že k vykonání příkazu stačí jen posunout ukazatel nad hypertextový odkaz. V šířené prezentaci z pohledu uživatele či uživatelky vidíte informační hlášku s tím, že dochází k načítání. Vy pak nad odkaz zamíříte a k jistému načtená skutečně dojde, jen to pro váš počítač nebude mít dobré důsledky. V tomto ohledu jsou nebezpečné především starší verze Microsoft Office. Novější totiž zobrazují bezpečnostní upozornění a nechají vás příkaz schválit.

ICTS24

Novější verze PowerPointu vás upozorní, že chce prezentace provést příkaz Novější verze PowerPointu vás upozorní, že chce prezentace provést příkaz (Foto: Dodge This Security)

Nedělám si ovšem iluze, že by tento dialog byl nezkušenému jedinci srozumitelný. Upozornění je dle mého názoru snadné přejít a automatický klepnout na Povolit. Co si ze situace odnést? Nestahujte prezentace z nedůvěryhodných zdrojů, zvlášť ne ty šířené hromadnými e-maily. Jindy bych uvedl, že nemáte klepat na nedůvěryhodné odkazy v prezentacích, ale to je v tomto případě zbytečná rada. Aspoň používejte novější verze Office, které před akcemi v prezentacích varují. Tato upozornění pak pečlivě analyzujte.

Více o upravených prezentacích, které dokáží distribuovat malware bez klepnutí na odkaz, se dočtete na blogu Dodge This Security.