ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳຜູ້ໃຊ້ທົ່ວໄປ

ພົບ​ Malware ແຜ່ກ​ະ​ຈາຍ​ຜ່ານ​ file PowerPoint ໂດຍບໍ່ຕ້ອງອາໄສ​ Macro

ຂໍ້ມູນທົ່ວໄປ 

ນັກຄົ້ນຄ້ວາດ້ານຄວາມໝັ້ນຄົງປອດໄພ ພົບ​ໄຟ​ລ໌​ PowerPoint ຊຶ່ງ​ພະຍາຍາມ​ໃຫ້​ຜູ້ໃຊ້ ຣັນ (Run)​ PowerShell ຫຼັງ​ຈາກ​ທີ່​ເມົາ​ສ໌​ (Mouse) ວາງ​ໄວ້​ເທິງລິ້ງ (Link) ໃນ​ slide ຂອງ​ PowerPoint ໂດຍ​ບໍ່​ຈຳ​ເປັນ​ຕ້ອງ​ເປີດ​ການ​ໃຊ້​ງານ​ Macro ແຕ່​ຢ່າງ​ໃດ​.

News Images: malpp1.jpeg

“Loading…Please wait” ຄື hover action ໂດຍ hover action ກຳນົດ​ວ່າ​ໃຫ້​ຣັນ ​element ທີ່​ຊື່​ວ່າ​ rId2.

News Images: malpp2.png

News Images: malpp3.png

ຊຶ່ງ​ໃນ​ rId2 ໄດ້​ກຳນົດ​ໄວ້​ວ່າ​ໃຫ້​​ຣັນ​ໂປຣແກຣມ PowerShell ພ້ອມ​ກັບ​ parameter ການ​ຕິດ​ຕໍ່ເພື່ອໄປ​ ດາວໂຫຼດມັລແວ (Malware) ມາ​ເພີ່ມຕື່ມ.​

News Images: malpp4.jpeg

News Images: malpp5.jpeg

ເມື່ອ​ PowerShell ເຮັດວຽກ​ຈະ​​ຕິດ​ຕໍ່ໄປ​ຍັງ​ cccn.nl/c.php ແລ້ວ​ດາວໂຫຼດມາ​ເປັນ​ iis.jse ໃນ​ folder temp ຈາກ​ນັ້ນ​ຈະ​ນຳ​ໄຟ​ລ໌​ດັ່ງ​ກ່າວ​ໄປ​ຣັນ​ຜ່ານ​ wscript.exe ແລ້ວ​ໄດ້​ໄຟ​ລ໌​ 168.gop ອອກ​ມາ​ ຈາກ​ນັ້ນ​ຈຶ່ງ​ນຳ​ໄຟ​ລ໌​ 168.gop ໄປ​ຣັນ​ຜ່ານ​ certutil.exe ແລ້ວ​ decode ໄຟ​ລ໌​ດັ່ງ​ກ່າວ​ອອກ​ມາກາຍ​ເປັນ​ 484.exe ເມື່ອ​ຣັນ​ໄຟ​ລ໌​ 484.exe ຈະ​ກາຍ​ເປັນ​ການ​ເປີດ​ໃຫ້​ສາມາດ​ຄວບຄຸມຄອມພິວເຕີເຄື່ອງ​ດັ່ງ​ກ່າວ ໄດ້ຈາກໄລຍະໄກ (RDP ຫຼື Remote Desktop Connection)  ​ໂດຍ​ໃຊ້​ mstsc.exe ຈາກ​ນັ້ນ​ປ່ຽນ​ຊື່​ ແລະ ​ຍ້າຍ​ຕົນ​ເອງ​ໄປ​ຍັງ​ AppData\Roaming\Microsoft\Internet Explorer\sectcms.exe

ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

ວິທີ​ປ້ອງ​ກັນ​ສາມາດ​ເຮັດ​ໄດ້​ໂດຍ​ການ​ Enable Protected View ໃນ​ Microsoft Office​ ຊຶ່ງ​ສາມາດ​ເຮັດ​ໄດ້​ຕາມລິ້ງ​ https://support.office.com/en-us/article/What-is-Protected-View-159705a8-9129-423e-940e-ad6e9868277d ນີ້ເລີຍ.

ເອກະສານອ້າງອີງ:

  1. https://www.techsuii.com/2017/06/05/powerpoint-file-downloads-malware-when-you-hover-a-link-no-macros-required/
  2. https://www.bleepingcomputer.com/news/security/powerpoint-file-downloads-malware-when-you-hover-a-link-no-macros-required/