Penyerang sering mencari celah keamanan di mana mereka dapat mengeksploitasi mesin dan menginstal malware. Kali ini kerentanan di Windows Object Linking Embedding (OLE) sedang dieksploitasi melalui Microsoft PowerPoint oleh para penyerang.

Sesuai laporan dari perusahaan keamanan Trend Micro jenis antarmuka paling umum yang digunakan untuk mengeksploitasi kerentanan adalah penggunaan Rich Text File. Semua ini dilakukan dengan mengenakan topeng tayangan slide PowerPoint. Namun modus operandi cukup tipikal, sebuah email yang berisi lampiran dikirimkan. Konten dalam email disiapkan sedemikian rupa sehingga mendapat perhatian langsung dari penerima dan juga memaksimalkan peluang respons.

Rupanya, dokumen terlampir adalah file PPSX yang merupakan format file yang terkait dengan PowerPoint. Format ini hanya menawarkan pemutaran slide tetapi opsi edit dikunci. Jika file dibuka, itu hanya akan menampilkan teks berikut, ' CVE-2017-8570. (Kerentanan lain untuk Microsoft Office.) '

Pada kenyataannya, membuka file akan memicu exploit untuk kerentanan lain bernama CVE-2017-0199 dan kemudian akan membongkar kode jahat melalui animasi PowerPoint. Akhirnya, file bernama logo.doc akan diunduh. Dokumen ini terdiri dari file XML dengan kode JavaScript yang digunakan untuk menjalankan perintah PowerShell dan mengunduh program jahat yang disebut 'RATMAN.exe.' yang merupakan akses Trojan jarak jauh disebut.

Trojan dapat merekam penekanan tombol, menangkap tangkapan layar, merekam video dan juga mengunduh malware lainnya. Intinya, penyerang akan memegang kendali penuh atas komputer Anda dan secara harfiah dapat menyebabkan kerusakan parah dengan mencuri semua informasi Anda termasuk kata sandi perbankan. Penggunaan file PowerPoint adalah sentuhan yang cerdas karena mesin anti virus akan mencari file RTF.

Semua dikatakan dan dilakukan, Microsoft telah memperbaiki kembali kerentanan pada bulan April dan ini adalah salah satu alasan mengapa kami menyarankan orang-orang untuk terus memperbarui PC mereka. Namun tip klasik lainnya adalah untuk menghindari mengunduh lampiran dari sumber yang tidak dikenal, tapi jangan lakukan itu.