Обнаружен новый метод распространения трояна Zusy через файлы PowerPoint

Олег Иванов 05 Июня 2017 - 13:32

...

Обнаружен новый метод распространения трояна Zusy через файлы PowerPoint

Киберпреступники нашли новый подход, они используют файлы PowerPoint и события mouseover, чтобы заставить пользователей выполнить на своей системе произвольный код и загрузить вредоносную программу.

Очень часто злоумышленники используют для распространения вредоносных программ специально созданные файлы Office, особенно документы Word. Обычно такие атаки основаны на социальной инженерии, и пытаются обманов заставить пользователя запустить VBA-макросы, встроенные в документ.

Однако недавно исследователи обнаружили несколько вредоносных файлов PowerPoint, которые используют события mouseover для выполнения кода PowerShell. Эти файлы с именем «order.ppsx» и «invoice.ppsx» распространяются через спам-письма с темами вроде «Заказ на поставку № 130527» или «Подтверждение».

Анализ, проведенный Ruben Daniel Dodge, показывает, что когда вредоносная презентация PowerPoint открывается, в ней отображается текст «Loading...Please wait», он является гиперссылкой.

Если пользователь наводит указатель мыши на ссылку, даже не кликнув по ней, выполняется запуск кода PowerShell. Функция защиты, которая включена по умолчанию в большинстве поддерживаемых версий Office, информирует пользователя о рисках и предлагает ему включить или отключить контент.

Если пользователь разрешает содержимому выполниться, код PowerShell связывается с доменом «cccn.nl». Далее с этого домена загружается и выполняется файл, что приводит в итоге к установке вредоносного загрузчика.

Исследователи из SentinelOne проанализировали атаку и обнаружили, что она используется для распространения нового варианта банковского трояна, получившего имена Zusy, Tinba и Tiny Banker.

«Несмотря на то, что пользователи получают предупреждения о возможной опасности, они все равно могут запустить вредоносное содержимое, так как зачастую торопятся, не вдаваясь в подробности» - говорится в блоге SentinelOne Labs.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Яков Шпунт 12 Мая 2026 - 12:01

GenAI (генеративный искусственный интеллект) Домашние пользователи Корпорации

Американские разработчики ИИ-моделей выявляют и банят россиян

Разработчики моделей искусственного интеллекта (ИИ) Claude, ChatGPT и Gemini активно выявляют пользователей из неподдерживаемых регионов, включая Россию, и блокируют им доступ. При этом чем крупнее проект, тем выше риск столкнуться с ограничениями.

Недавно стало известно о масштабной блокировке российских пользователей компанией Anthropic, которой принадлежит ИИ-модель Claude. По данным СМИ, она затронула сотни людей и компаний. При этом удалялись все данные и аналитика, хотя деньги за подписки возвращались.

Как отметил директор по экспериментальным продуктам MWS AI, входящей в МТС Web Services, Сергей Пономаренко в беседе с РИА Новости, зарубежные разработчики продолжат применять такую практику в отношении россиян. По его оценке, под наиболее серьёзной угрозой находятся крупные проекты, по которым есть признаки корпоративного использования. Это связано с соблюдением санкционных ограничений, введённых властями США ещё в 2024 году.

«Американские компании-разработчики ИИ Anthropic, OpenAI и Google активно применяют инструменты выявления пользователей из неподдерживаемого региона и будут дальше совершенствовать их, поэтому россиян ждут новые волны блокировок в Claude, ChatGPT и Gemini», — предупредил Сергей Пономаренко.

По его словам, ограничения вводятся постепенно. Российские IP-адреса долгое время могли помечаться в базах, которыми пользуются зарубежные компании, как европейские, однако со временем такие данные уточняются. В результате сетевые адреса начинают определяться как российские, после чего к ним применяются ограничения.

Использование прокси и VPN зарубежные компании также могут отслеживать. «Подозрение могут вызвать постоянные входы из разных стран за короткое время, использование известных VPN или прокси, слишком большое количество запросов, массовое создание аккаунтов, а также попытки обойти блокировки или фильтры безопасности», — пояснил эксперт.

Часто сомнительные учётные записи сначала отправляют на проверку и не блокируют полностью. Доступ к ним могут восстановить после обращения в техническую поддержку. Однако при удалении аккаунта уничтожаются все данные. При этом сами диалоги владельцы ИИ-моделей могут сохранять, что создаёт дополнительные риски утечки информации.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!