Если кто-то думает, что достаточно не открывать файлы из неизвестных источников и не переходить по ссылкам, чтобы держаться подальше от вирусов, они ошибаются. Исследователи информационной безопасности обнаружили, что киберпреступники начали использовать загрузчики вредоносного приложения, которые устанавливают на компьютер банковский троян без единого клика мышью. Для загрузки достаточно провести указателем мыши над гиперссылкой в файле PowerPoint.
Специалисты из Trend Micro и Dodge This Security обнаружили, что этот метод используется в недавней кампании по распространению спама по электронной почте. Целью являются компании в Европе, на Среднем Востоке и в Африке. Заголовок письма обычно связан с финансовыми делами, вложенным файлом является презентация в PowerPoint.
В этом файле есть одна гиперссылка, в которой говорится «Loading... please wait». Внутри встроен вредоносный скрипт PowerShell. Если провести указателем мыши над гиперссылкой, запускается скрипт. Если на компьютере установлена современная версия Microsoft Office, пользователь должен разрешить загрузку вредоносного кода, прежде чем он попадет на компьютер. Современные версии Office обладают механизмом защиты Protected View, который показывает окно предупреждения о потенциальной угрозе безопасности, когда скрипт стартует. Достаточно нажать на кнопку «Отключить» и угроза будет устранена. В противном случае загрузчик может установить троян на компьютер для кражи информации о банковских аккаунтах.
К счастью, кампания по распространению спама сошла на нет 29 мая, её пик пришёлся на 25 мая, когда Trend Micro зафиксировала 1444 случая. Вполне возможно, что это был только пробный запуск и более крупные атаки ещё впереди. По этой причине следует держаться подальше от подобных электронных писем и не запускать содержащиеся в них файлы.