Os invasores geralmente procuram vulnerabilidades através das quais podem explorar a máquina e instalar malware. Desta vez, uma vulnerabilidade no OLE (Windows Object Linking Embedding) está sendo explorada pelo Microsoft PowerPoint pelos atacantes.

De acordo com um relatório da empresa de segurança Trend Micro, o tipo mais comum de interface usado para explorar a vulnerabilidade é o uso de Rich Text File. Tudo isso é feito com uma apresentação de slides do PowerPoint. O modus operandi é, no entanto, bastante típico, um email contendo um anexo é enviado. O conteúdo do e-mail é preparado de tal maneira que ganha a atenção imediata do destinatário e também maximiza as chances de uma resposta.

Aparentemente, o documento em anexo é um arquivo PPSX, que é um formato de arquivo associado ao PowerPoint. Esse formato oferece apenas a reprodução do slide, mas as opções de edição estão bloqueadas. Caso o arquivo seja aberto, ele exibirá apenas o seguinte texto, ' CVE-2017-8570. (Outra vulnerabilidade para o Microsoft Office.) '.

Na realidade, a abertura do arquivo acionará uma exploração de outra vulnerabilidade chamada CVE-2017-0199 e descarregará o código malicioso por meio das animações do PowerPoint. Eventualmente, um arquivo chamado logo.doc será baixado. O documento é composto de um arquivo XML com código JavaScript usado para executar um comando do PowerShell e baixar o programa malicioso chamado 'RATMAN.exe'. que é um Trojan de acesso remoto chamado.

O Trojan pode gravar pressionamentos de teclas, capturar capturas de tela, gravar vídeos e também baixar outros malwares. Em essência, o invasor estará no controle total do seu computador e pode literalmente causar danos graves roubando todas as suas informações, incluindo senhas bancárias. O uso do arquivo do PowerPoint é um toque inteligente, pois o mecanismo antivírus estará pesquisando o arquivo RTF.

Tudo dito e feito, a Microsoft já corrigiu a vulnerabilidade em abril e esse é um dos motivos pelos quais sugerimos que as pessoas mantenham seus PC atualizados. Outra dica essencial é evitar o download de anexos de fontes desconhecidas, apenas não faça isso.