Previsualización y ataques

CEDI. The ideal of Verified Software. Parece que nos cuesta aprender: si hay una característica que permite conectarse a internet en algo que no se ha desarrollado cuidadosamente, alguien la aprovechará para atacarnos.

En este caso hablamos de Hackers use PowerPoint files for ‘mouseover’ malware delivery una característica de las que llamaríamos ‘chulas’: cuando pasas el ratón por encima de un enlace en un ‘PowerPoint’ se puede ver una vista previa de la cosa. En este caso se intenta descargar una imagen.

When opening the lure document in presentation mode and the victim hovers the mouse over a hyperlink, a malicious PowerShell script is activated to download a JPEG file (“DSC0002.jpeg”) from a Microsoft OneDrive account.

Pero la imagen resulta ser una DLL cifrada y se arma el lío.

The JPEG is an encrypted DLL file (lmapi2.dll), that is decrypted and dropped in the ‘C:\ProgramData' directory, later executed via rundll32.exe. A registry key for persistence is also created for the DLL.

 Date: October 10, 2022
 Categories:  seguridad
 Tags:  seguridad powerpoint ataques previsualizacción

Previous
⏪ La complejidad de los navegadores y la dificultad de crear uno desde cero

Next
Reflejos y videoconferencias. ¿Estás mostrando demasiado? ⏩