Marco Ramilli ได้ออกมาเผยแพร่ผลการวิจัยเกี่ยวกับเอกสารของ Microsoft PowerPoint ว่าอาจถูกใช้เป็นตัวกลางในการส่งมัลแวร์ ปกติแล้วแฮกเกอร์จะใช้ Word หรือ Excel เป็นตัวส่งมัลแวร์ น้อยมากที่จะมีการใช้โปรแกรม PowerPoint เป็นตัวส่ง
สำหรับวิธีการ ก็คือ ตัวเอกสารของ PowerPoint จะทำการดาวน์โหลดไฟล์ที่ชื่อว่า wraeop.sct ภายในจะประกอบด้วยโค้ด JavaScript ซึ่งจะทำการ PowerShell เพื่อดาวน์โหลดมัลแวร์ระยะที่ 3 ไฟล์ที่ดาวน์โหลมานั้นมีชื่อว่า AZZI.exe จากนั้นมันจะทำการคัดลอกตัวมันเองไปเป็นชื่อไฟล์อื่น โดยจะถูกเก็บไว้ในไดเรกชั่วรีชั่วคราว (temporary directory) ของระบบ เพื่อทำการรันและแตกไฟล์ สร้างมัลแวร์ระยะที่ 4
ในระยะนี้เอง Marco เชื่อว่าเป็นมัลแวร์ AzoRult สำหรับรายละเอียดขั้นตอนการทำงานของมัลแวร์นี้ สามารถดูได้ที่บล็อกของ Marco Ramilli
สำหรับ URL และมัลแวร์ที่คาดว่าจะเกี่ยวข้อง ได้แก่
- Mal : 4f38fcea4a04074d2729228fb6341d0c03363660f159134db35b4d259b071bb0
- Mal : 6ae5583ec767b7ed16aaa45068a1239a827a6dae95387d5d147c58c7c5f71457
- Mal : 965b74e02b60c44d75591a9e71c94e88365619fe1f82208c40be518865a819da
- Mal : c26de4d43100d24017d82bffd1b8c5f1f9888cb749ad59d2cd02ef505ae59f40
- URL : http://batteryenhancer.com
- URL : https://a.doko.moe/wraeop.sct
- URL : https://a.dolo.moe/wraeop.sct
- URL : https://ominigrind.ml/azzi/index.php
- URL : https://ominigrind.ml/azzi/panel/admin.php
สำหรับวิธีการป้องกันทำได้โดย
- บล็อก URL และ IP based IOCs, IDS, web gateways, routers หรืออุปกรณ์อื่นๆ ทั้งหมดด้วย firewall
- ใช้โปรแกรมป้องกันไวรัสที่ได้ทำการอัปเดตเป็นเวอร์ชั่นล่าสุด และตรวจสอบว่าโปรแกรมที่ใช้อยู่นั้นสามารถรองรับการป้องกันนี้ได้
- ค้นหาสัญญาณ IOC (Input/Output Control System) ที่ใช้อยู่ รวมไปถึงในระบบอีเมลด้วย
- คอยทำการอัปเดตระบบอย่างสม่ำเสมอ
ที่มา : IBM X-Force Exchange