Sårbarheten som går under benämningen CVE-2017-0199 utnyttjas i en ny spearphishing-kampanj. Sårbarheten återfinnes i Microsoft Office gränssnitt mot Object Linking and Embedding (OLE). Samma sårbarhet har även tidigare utnyttjas i bank-trojanen DRIDEX.

Attacken går ut på att en PowerPoint-bilaga med filändelsen .PPSX skickas till målet på följande sätt:

När målet sedan öppnar den bifogade PPSX filen så visas texten CVE-2017-8570 i dokumentet. Men sårbarheten som utnyttjas i dokumentet är i själva verket CVE-2017-0199. Bifogat i PPSX-filen så finnes filen ppt/slides/_rels/slide1.xml.rels som i sin tur laddar hem logo.doc externt.

Logo.doc är dock en XML-scriplet som laddar hem trojanen Ratman.EXE dvs REMCOS RAT vilket följande skärmdump från Wireshark visar:

Remcos är en kommersiell fjärrstyrningsmjukvara/RAT och kan köpas för cirka 500kr eller laddas hem gratis.

Skärmdump som visar på funktionalitet hos Remcos:

Källa: TrendMicro