Los atacantes a menudo buscan vulnerabilidades a través de las cuales pueden explotar la máquina e instalar malware. Esta vez, los atacantes están explotando una vulnerabilidad en la incrustación de vinculación de objetos de Windows (OLE) a través de Microsoft PowerPoint.

Según un informe de la empresa de seguridad Trend Micro, el tipo de interfaz más común que se utiliza para aprovechar la vulnerabilidad es el uso de Rich Text File. Todo esto se lleva a cabo usando una mascarada de presentaciones de diapositivas de PowerPoint. Sin embargo, el modus operandi es bastante típico, se envía un correo electrónico que contiene un archivo adjunto. El contenido del correo electrónico se prepara de tal manera que atraiga la atención inmediata del destinatario y también maximice las posibilidades de respuesta.

Aparentemente, el documento adjunto es un archivo PPSX que es un formato de archivo asociado con PowerPoint. Este formato solo ofrece la reproducción de la diapositiva, pero las opciones de edición están bloqueadas. En caso de que se abra el archivo, solo mostrará el siguiente texto, ' CVE-2017-8570. (Otra vulnerabilidad para Microsoft Office.) '.

En realidad, abrir el archivo desencadenará un exploit para otra vulnerabilidad llamada CVE-2017-0199 y luego descargará el código malicioso a través de las animaciones de PowerPoint. Finalmente, se descargará un archivo llamado logo.doc. El documento está compuesto por un archivo XML con código JavaScript que se utiliza para ejecutar un comando de PowerShell y descargar el programa malicioso llamado 'RATMAN.exe'. que es un troyano de acceso remoto denominado.

El troyano puede grabar pulsaciones de teclas, capturar capturas de pantalla, grabar videos y también descargar otro malware. En esencia, el atacante tendrá el control total de su computadora y, literalmente, puede causar daños graves al robar toda su información, incluidas las contraseñas bancarias. El uso del archivo PowerPoint es un toque inteligente ya que el motor antivirus buscará el archivo RTF.

Todo dicho y hecho, Microsoft ya ha corregido la vulnerabilidad en abril y esta es una de las razones por las que sugerimos a las personas que mantengan sus PC actualizadas. Otro consejo por excelencia es evitar descargar archivos adjuntos de fuentes desconocidas, simplemente no lo hagas.