Grupa Cluster25 wykryła w sieci nowe zagrożenie, którym można zainfekować swój komputer poprzez krótką, dwuslajdową prezentację z PowerPointa. Zidentyfikowane zagrożenie to malware Graphite, które powiązane jest z grupą APT28 „Fancy Bear” („TSAR Team”), przez USA uważaną za wspieraną przez rosyjski wywiad. Prezentacja na pierwszy rzut oka nie sprawia wrażenia groźnej, nawet wykorzystując szablon Organizacji Współpracy Gospodarczej i Rozwoju. Oba slajdy są takie same, zapisane w dwóch językach.
Złośliwy wirus malware aktywuje się jeszcze zanim klikniecie w link
Bazując na materiałach grupy Cluster25 wynika, że złośliwe oprogramowanie może zainstalować się na komputerze po samym najechaniu kursorem na link, jeszcze przed kliknięciem. Powoduje to aktywacje skryptów zapisanych w PowerShellu. Nie opisano, w jaki dokładnie sposób osiągnięto cel. Prawdopodobnie typowe pole tekstowe PowerPointa zostało zastąpione sekwencją zaczynającą się od “powershell://(…)”. Szczegółowe testy możecie zobaczyć na opracowaniu strony Sekurak.
Program infekuje kawałek pamięci komputera i przekazuje wszystkie potrzebne informacje. Atakujący uzyskuje więc dostęp poprzez chmurę i zdalnie wprowadza kod do komputera ofiary.
Zobacz też: 5 lat wsparcia bezpieczeństwa dla urządzeń cyfrowych. UE przedstawia nową ustawę
Według dowodów zebranych przez grupę Cluster25, prace nad wirusem odbywały się w styczniu i lutym 2022. Pierwsze aktywne linki pojawiły się jednak dopiero w trzecim kwartale 2022. Daty mogą jasnym powiązaniem z rosyjską agresją na Ukrainę i działaniami wspierającymi konwencjonalne pole walki.
Uważajcie więc na swoje komputery i pod żadnym pozorem nie wchodźcie w podejrzane linki i nie pobierajcie podejrzanych plików.
Więcej o wirusie malware możecie posłuchać na podstawie poniższego filmu: