微软 PowerPoint 被用作攻击媒介下载恶意软件

安全公司趋势科技于近期发布一份研究报告，指出网络犯罪分子通过微软 PowerPoint 利用 Windows 对象链接嵌入（OLE）界面中的漏洞安装恶意软件。

调查显示，该漏洞接口通常被恶意 RTF 文件利用，即恶意软件伪装成 PPSX 文件，这是一种仅允许播放幻灯片的 PowerPoint 文件，但不可编辑。如果接收器下载并打开它，内容将显示漏洞文本。

据悉，该文件将触发漏洞 CVE-2017-0199，然后将开始感染主机，恶意代码通过 PowerPoint 动画运行。随后，将下载文件 “logo.doc” 。该文档实际上是一个具有 JavaScript 代码的 XML 文件，该代码运行 PowerShell 命令下载名为 “RATMAN.exe” 的新程序，这是一种名为 Remcos 的远程访问工具的特洛伊木马版本，之后建立与 Command＆Control 服务器的连接。