Security Researcher พบไฟล์ Powerpoint ซึ่งพยายามให้ user รัน powershell หลังจากที่เมาส์วางไว้เหนือ link ใน slide ของ Powershell โดยไม่จำเป็นต้องเปิดการใช้งาน Macro แต่อย่างใด

โดยปกติ file malware ที่เป็น document ใดๆ จะมีการพยายามรันผ่าน Macro, Javascript, VBA แต่ตัวที่ Security Researcher คนนี้พบ กลับไม่ต้องพึ่งสิ่งเหล่านั้นแต่อย่างใด ขอเพียงแค่นำเมาส์ไปวางไว้เหนือ Link URL ก็จะพยายามให้ user รัน powershell ที่ถูกซ่อนไว้ทันที โดย Powerpoint ไฟล์ดังกล่าว จะมี slide แค่​ slide เดียว โดย slide ดังกล่าวจะมี Link URL พร้อมกับข้อความเขียนไว้ว่า “Loading…Please wait”

ซึ่งวิธีการที่ทำให้ส่วน Link URL ดังกล่าวกระทำการเปิด powershell เมื่อมีเมาส์ไปอยู่เหนือคำ “Loading…Please wait” คือ hover action โดย hover action กำหนดว่าให้รัน element ที่ชื่อว่า rId2

ซึ่งใน rId2 ได้กำหนดไว้ว่าให้ทำการรัน program powershell พร้อมกับ parameter การติดต่อไป download malware มาเพิ่มเติม

เมื่อ powershell ทำงานจะทำการติดต่อไปยัง cccn.nl/c.php แล้วทำการ download มาเป็น iis.jse ใน folder temp จากนั้นจะนำไฟล์ดังกล่าวไปรันผ่าน wscript.exe แล้วได้ไฟล์ 168.gop ออกมา จากนั้นจึงนำไฟล์ 168.gop ไปรันผ่าน certutil.exe แล้ว decode ไฟล์ดังกล่าวออกมากลายเป็น 484.exe อีกที เมื่อทำการรันไฟล์ 484.exe จะกลายเป็นการเปิดให้สามารถ RDP เครื่องดังกล่าวโดยใช้ mstsc.exe จากนั้นเปลี่ยนชื่อและย้ายตัวเองไปยัง AppData\Roaming\Microsoft\Internet Explorer\sectcms.exe อีกที

วิธีป้องกันสามารถทำได้โดยการ enable Protected View ใน Microsoft Office ครับ ซึ่งสามารถทำได้ตาม Link นี้ครับ

Source:: BleepingComputerdodgethissecurity