Vrlo vjerojatno ste čuli o upozorenju vezanom uz otvaranje dokumenata u e-mailovima. Mnogi hakeri već dulje vrijeme koriste desetljećima stare makroe u datotekama kako bi hakirali računalo kroz specijalno stvorene dokumente za Microsoft Office (pogotovo Word) koje priključe spammerskim mailovima. Na našu žalost, nedavno je otkrivena nova prijetnja koja ne zahtijeva to da korisnici imaju uključene makroe, već se aktivira preko PowerShell komandi unutar datoteka za poznati prezentacijski program PowerPoint.

Zlonamjerni kod u PowerShellu aktivira se čim žrtva prijeđe mišem preko linka, nakon čega se na računalo skine dodatni sadržaj bez otvaranja dokumenta. Istražni tim u sigurnosnoj kompaniji SentinelOne otkrio je grupu hakera koji koriste inficirane datoteke PowerPointa kako bi distribuirali Zusy, bankarskog trojanca, također poznatog kao Tinba (Tiny Banker - mali bankar). Zusy je otkriven još 2012. i cilja stranice za online banking, dajući hakerima informacije poput korisnikovih bankovnih računa, brojeva kreditnih kartica i tokena za aktivaciju.

'Nova vrsta malwarea pod imenom Zusy pojavila se u divljini te se širi putem PowerPoint datoteka priključenih spammerskim mailovima s naslovom 'Purchase Order #130527' i 'Confirmation'. Riječ je o vrlo zanimljivoj vrsti virusa koji ne zahtijeva to da žrtva ima uključene makroe', piše na službenom blogu SentinelOnea.

Inficirane datoteke PowerPointa distribuiraju se putem spama te, kada se otvore, ispisuju tekst 'Loading... Please Wait'. Kada korisnik mišem prođe iznad linka, on automatski aktivira PowerShell kod. Na sreću, većina novijih Officea, poput Officea 2013. i Officea 2010., prvo upozori korisnika te ih pitaju žele li aktivirati ili deaktivirati sadržaj.

Ako korisnik zbog nekog razloga zanemari upozorenje te dopusti pregled sadržaja, zlokobni program će se spojiti na stranicu 'cccn.nl', s koje će povući i pokrenuti datoteku kojom na računalo instalira trojanca Zusy.

'Korisnici bi i dalje mogli nekako aktivirati eksterne programe zato što su lijeni, zato što im se žuri i zato što su navikli na blokiranje makroa', kažu iz SentinelOnea. 'Neke konfiguracije mogle bi biti 'popustljivije' u pokretanju vanjskih programa nego kada je riječ o makroima.'

Kompanija naglašava da napad ne može biti izvršen ako je datoteka otvorena u PowerPoint Vieweru koji odbija pokrenuti program. Tehnika infekcije bi, naglašavaju, i dalje mogla biti učinkovita u određenom broju slučajeva.