Ny trojan utnyttjar OLE-sårbarhet i Microsoft Office

PowerPoint malware

Sårbarheten som går under benämningen CVE-2017-0199 utnyttjas i en ny spearphishing-kampanj. Sårbarheten återfinnes i Microsoft Office gränssnitt mot Object Linking and Embedding (OLE). Samma sårbarhet har även tidigare utnyttjas i bank-trojanen DRIDEX.

Attacken går ut på att en PowerPoint-bilaga med filändelsen .PPSX skickas till målet på följande sätt:

När målet sedan öppnar den bifogade PPSX filen så visas texten CVE-2017-8570 i dokumentet. Men sårbarheten som utnyttjas i dokumentet är i själva verket CVE-2017-0199. Bifogat i PPSX-filen så finnes filen ppt/slides/_rels/slide1.xml.rels som i sin tur laddar hem logo.doc externt.

Logo.doc är dock en XML-scriplet som laddar hem trojanen Ratman.EXE dvs vilket följande skärmdump från Wireshark visar:

Remcos är en kommersiell fjärrstyrningsmjukvara/RAT och kan köpas för cirka 500kr eller laddas hem gratis.

Skärmdump som visar på funktionalitet hos Remcos:

Källa: TrendMicro

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1018099 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>