Se está utilizando un complemento de PowerPoint para propagar archivos maliciosos, según los hallazgos de la empresa de seguridad Avanan.
Jeremy Fuchs de Avanan dijo que el archivo .ppam, que tiene comandos adicionales y macros personalizadas, está siendo utilizado por piratas informáticos «para envolver archivos ejecutables».
La compañía comenzó a ver el vector de ataque en enero y señaló que los archivos .ppam se usaban para empaquetar archivos ejecutables de una manera que permitía a los piratas informáticos «apoderarse de la computadora del usuario final». La mayoría de los ataques provienen del correo electrónico.
«En este ataque, los piratas informáticos muestran un correo electrónico de orden de compra genérico, un mensaje de phishing bastante estándar. El archivo adjunto al correo electrónico es un archivo .ppam. Un archivo .ppam es un complemento de PowerPoint, que amplía y agrega ciertas capacidades. Sin embargo, este archivo en realidad envuelve un proceso malicioso mediante el cual se sobrescribirá la configuración del registro», dijo Fuchs.
«Usando archivos .ppam… los piratas informáticos pueden envolver y, por lo tanto, ocultar archivos maliciosos. En este caso, el archivo sobrescribirá la configuración del registro en Windows, lo que permitirá que el atacante tome el control de la computadora y se mantenga activo al residir persistentemente en la memoria de la computadora».
Los piratas informáticos encontraron una forma de eludir las herramientas de seguridad debido a la poca frecuencia con la que se utiliza el archivo .ppam. Fuchs agregó que el método de ataque podría usarse para propagar ransomware, y señaló un incidente en octubre en el que un grupo de ransomware usó el tipo de archivo durante un ataque.
Aaron Turner, vicepresidente de postura SaaS en Vectra, dijo que la ubicuidad de la suite de colaboración de Microsoft la convierte en una de las favoritas de los atacantes, y el último ataque de PowerPoint es el ejemplo más reciente de más de 20 años de astutos documentos de Microsoft Office que entregan exploits.
«Para las organizaciones que confían en Exchange Online para su correo electrónico, deben revisar sus políticas antimalware configuradas en su portal de Microsoft 365 Defender. Alternativamente, si existe un alto riesgo de ataque que debe abordarse fuera de las políticas de Defender, los tipos de archivos adjuntos se pueden bloquear en una política de bloqueo .ppam dedicada como una política de flujo de correo de Exchange Online», dijo Turner.
«Cuando ejecutamos nuestro análisis de evaluación de la postura en Exchange Online, verificamos la política configurada y la comparamos con nuestra recomendación de bloquear más de 100 tipos de archivos diferentes. Como resultado de esta investigación, agregaremos .ppam a nuestra lista de archivos. extensiones para bloquear debido a la relativa oscuridad y el bajo uso de esa extensión de archivo de PowerPoint en particular».
