安全公司趋势科技于近期发布一份研究报告，指出网络犯罪分子通过微软 PowerPoint 利用 Windows 对象链接嵌入（OLE）界面中的漏洞安装恶意软件。 调查显示，该漏洞接口通常被恶意 RTF 文件利用，即恶意软件伪装成 PPSX 文件，这是一种仅允许播放幻灯片的 PowerPoint 文件，但不可编辑。如果接收器下载并打开它，内容将显示漏洞文本。 据悉，该文件将触发漏洞 CVE-2017-0199，然后将开始感染主机，恶意代码通过 PowerPoint 动画运行。随后，将下载文件 “logo.doc” 。该文档实际上是一个具有 JavaScript 代码的 XML 文件，该代码运行 PowerShell 命令下载名为 “RATMAN.exe” 的新程序，这是一种名为 Remcos 的远程访问工具的特洛伊木马版本，之后建立与 Command＆Control 服务器的连接。 Remcos 可以记录击键，截取屏幕截图，录制视频和音频，并下载更多恶意软件。此外，它还可以让攻击者完全控制受感染的计算机。为了保护自身，恶意文件使用了一个未知的 .NET 保护器，这使安全研究人员难以对其进行分析。最终，由于 CVE-2017-0199 的检测方法专注于 RTF 文件，因此使用 PowerPoint 文件允许攻击者逃避防病毒检测。但是，趋势科技确实注意到，微软已经在 4 月份通过最新安全补丁解决了这个漏洞。 稿源：cnBeta，封面源自网络；

据外媒 6 月 5 日报道，安全专家近期发现网络犯罪分子正利用一种新型攻击技术传播恶意软件，即通过 PowerPoint 演示文稿诱导用户在系统中下载执行恶意代码。 据悉，网络犯罪分子利用目标受害者鼠标的悬停操作自动执行恶意 PowerPoint 文件中所附带的 PowerShell 代码。目前，名为 “ order.ppsx ” 或 “ invoice.ppsx ” 的附件正通过垃圾邮件传播，其邮件主题包括 “ 采购订单＃130527 ” 与 “ 确认函 ” 等。 调查显示，当用户打开 PowerPoint 演示文稿时会看到标注 “ 正在加载……请等待 ” 字样的蓝色超链接。如果用户将鼠标悬停在该链接上，即使不点击也会触发 PowerShell 代码执行操作。一旦用户打开该文档，PowerShell 代码就会被连接至 “ cccn.nl ” 域名并下载执行负责传送恶意软件程序的文件。 安全研究人员表示，用户设备中受视图保护的安全功能会通知用户操作风险，并提示用户启用或禁用该项操作。此外，SentinelOne 研究人员在分析此次攻击活动时还观察到网络犯罪分子利用该技术传播银行木马 Zusy、Tinba 与 Tiny Banker 新变种。 原作者：Pierluigi Paganini，译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。