สงสัยว่า Microsoft PowerPoint ถูกใช้เป็นตัวส่งมัลแวร์ AzoRult

Marco Ramilli ได้ออกมาเผยแพร่ผลการวิจัยเกี่ยวกับเอกสารของ Microsoft PowerPoint ว่าอาจถูกใช้เป็นตัวกลางในการส่งมัลแวร์ ปกติแล้วแฮกเกอร์จะใช้ Word หรือ Excel เป็นตัวส่งมัลแวร์ น้อยมากที่จะมีการใช้โปรแกรม PowerPoint เป็นตัวส่ง

สำหรับวิธีการ ก็คือ ตัวเอกสารของ PowerPoint จะทำการดาวน์โหลดไฟล์ที่ชื่อว่า wraeop.sct ภายในจะประกอบด้วยโค้ด JavaScript ซึ่งจะทำการ PowerShell เพื่อดาวน์โหลดมัลแวร์ระยะที่ 3 ไฟล์ที่ดาวน์โหลมานั้นมีชื่อว่า AZZI.exe จากนั้นมันจะทำการคัดลอกตัวมันเองไปเป็นชื่อไฟล์อื่น โดยจะถูกเก็บไว้ในไดเรกชั่วรีชั่วคราว (temporary directory) ของระบบ เพื่อทำการรันและแตกไฟล์ สร้างมัลแวร์ระยะที่ 4
ในระยะนี้เอง Marco เชื่อว่าเป็นมัลแวร์ AzoRult สำหรับรายละเอียดขั้นตอนการทำงานของมัลแวร์นี้ สามารถดูได้ที่บล็อกของ Marco Ramilli

สำหรับ URL และมัลแวร์ที่คาดว่าจะเกี่ยวข้อง ได้แก่

  • Mal : 4f38fcea4a04074d2729228fb6341d0c03363660f159134db35b4d259b071bb0
  • Mal : 6ae5583ec767b7ed16aaa45068a1239a827a6dae95387d5d147c58c7c5f71457
  • Mal : 965b74e02b60c44d75591a9e71c94e88365619fe1f82208c40be518865a819da
  • Mal : c26de4d43100d24017d82bffd1b8c5f1f9888cb749ad59d2cd02ef505ae59f40
  • URL : http://batteryenhancer.com
  • URL : https://a.doko.moe/wraeop.sct
  • URL : https://a.dolo.moe/wraeop.sct
  • URL : https://ominigrind.ml/azzi/index.php
  • URL : https://ominigrind.ml/azzi/panel/admin.php

สำหรับวิธีการป้องกันทำได้โดย

  1. บล็อก URL และ IP based IOCs, IDS, web gateways, routers หรืออุปกรณ์อื่นๆ ทั้งหมดด้วย firewall
  2. ใช้โปรแกรมป้องกันไวรัสที่ได้ทำการอัปเดตเป็นเวอร์ชั่นล่าสุด และตรวจสอบว่าโปรแกรมที่ใช้อยู่นั้นสามารถรองรับการป้องกันนี้ได้
  3. ค้นหาสัญญาณ IOC (Input/Output Control System) ที่ใช้อยู่ รวมไปถึงในระบบอีเมลด้วย
  4. คอยทำการอัปเดตระบบอย่างสม่ำเสมอ

ที่มา : IBM X-Force Exchange