Со слов иностранных специалистов следует, что хакеры, работающие на РФ, стали использовать новый способ, чтобы на устройстве жертвы активировать код. Имеется в виду работа мыши в Microsoft PowerPoint в различных презентациях.
Следовательно, злоумышленники, чтобы запустить скрипт PowerShell, не нуждаются в вирусных макросах. В отчете специалистов Cluster25 говорится, что эту методику использует группировка хакеров APT28, которая еще называется «Fancy Bear».
По словам экспертов, киберпреступники в системы своих жертв устанавливают вредонос Graphite. Подобная атака была обнаружена 09.09.
Приманкой выступает презентация PowerPoint. Файл, вроде бы как имеет отношение к ОЭСР.
В самом файле имеются 2 слайда с инструкциями на двух языках – французском и английском. В них разъясняется, как использовать в Zoom опцию перевода.
Также, в файлах содержалась гиперссылка, являющаяся триггером для активации вируса при помощи SyncAppvPublishingServer.
В отчете специалистов сказано, что подготовка к атакам проводилась первые два месяца этого года. Всплывали эти URL и в конце лета и начале осени.
Жертве достаточно, открывая документ навести мышь на ссылку и вирус загрузится в систему.