قراصنة يعملون لصالح روسيا يستخدمون "باور بوينت" لتنفيذ هجمات معقدة
أفاد تقرير تقني حديث أن قراصنة يعملون لصالح روسيا استخدموا ملفات العروض التفاعلية "باور بوينت"، لمهاجمة مستخدمي مايكروسوفت بطريقة خبيثة لا تتطلب منهم الضغط على أي شيء.
وقال التقرير الذي أعدته شركة "Cluster25" للأمن السيبراني، إن "المتسللين يستخدمون ملفات "PowerPoint" أو ملفات ".PPT" التي تبدو غير ضارة لإطلاق برنامج نصي خبيث PowerShell".
وأشار إلى أن "برنامج PowerShell بدوره ينشر البرمجيات الخبيثة لتحقيق أهداف مطوري من القراصنة".
وبحسب موقع "بليبينغ كمبيوتر" التقني، يبدو أن "المتسللين الذين يُزعم أنهم يعملون لصالح روسيا يستخدمون عروض Microsoft PowerPoint التقديمية لتنفيذ هجمات إلكترونية معقدة".
ولفت الموقع إلى أن "القراصنة يقومون بتشغيل كود برمجي خبيث من نوع PowerShell من خلال الاعتماد ببساطة على حركة المؤشر، كإشارة لبدء تفعيل وتثبيت البرمجيات الخبيثة، وعندها يبدأ الهجوم على جهاز الضحية".
وأوضح أن "المهاجمين لا يحتاجون إلى استخدام أي تطبيقات مصغرة خبيثة، وهي تطبيقات Macro، لبدء الهجوم".
وتابع: "لذلك يبدو أن هذه الطريقة الجديدة أكثر سرية وفاعلية من استخدام الماكرو لنشر البرامج الضارة السيئة".
ووفقا لتقرير شركة "Cluster25"، فإن "الهجوم يبدأ عندما يدخل الهدف في وضع العرض ملء الشاشة Full Screen".
وقالت الشركة إنه "أثناء تحرك المؤشر، يبدأ البرنامج النصي PowerShell في تنزيل ملف صور بالامتداد JPEG، وبالتالي من مظهره يبدو غير ضار تماما، ولكن بين طياته قام المتسللون بإخفاء ملف بامتداد DDL داخل الصورة، بحيث يسمح لهم بتثبيت برامج ضارة".
وأضافت: "في تلك المرحلة، يبدأ الكود البرمجي داخل ملف "الباور بوينت" في تثبيت ملف قابل للتنفيذ المحمول، والذي يأتي مع البرامج الضارة".
وذكر موقع "بليبينغ كمبيوتر" التقني أن "المتسللين يستخدمون ملف PowerPoint يتضمن صفحتين، ويستهدف العرض تعليم المشاهدين كيفية استخدام ميزة الترجمة الفورية على Zoom".
وتابع: "يحمل تصميم ملف العرض التفاعلي المستخدم في الحملة وكأنها عرض تقديمي احترافي نموذجي، إلا أنه يتضمن رابطا إلكترونيا مخفيا، والذي يتم تشغيله بمجرد حركة الماوس، وحينها يبدأ في تنفيذ الهجوم".
وأشارت "Cluster25" إلى أن "حملة البرامج الضارة الجديدة هذه قد بدأت في جذب الأهداف في آب/أغسطس الماضي، واستمرت على مدى الشهر الجاري".
وأعربت عن اعتقادها أن "المهاجمين يعملون على ذلك منذ كانون الثاني/يناير وشباط/فبراير الماضيين".
