Forskare från Netskopes Threat Labs har dokumenterat en PowerPoint-baserad informationsstöldkampanj, som har varit vild sedan slutet av förra året.
Hotaktörer här ses släppa AgentTesla och Warzone RAT, de två kraftfulla datastjälande trojanerna. Bredvid finns det också en kryptovaluta-stjälare som forskare har upptäckt. Därför varnar de nu människor att vara vaksamma när de klickar och bearbetar misstänkta PowerPoint-filer.
PowerPoint-filer släpper RAT
En publikation som delas av Netskopes Threat Labs har beskrivit en skadlig kampanj som tog fart i december 2021. Enligt deras rapport distribueras spam-e-postmeddelanden med PowerPoint-filer i naturen, som kommer med fjärråtkomsttrojan (RAT) och legitimt moln tjänster.
I första hand finns det AgentTesla, en kraftfull RAT distribueras genom PowerPoint-nätfiskebilagor. Den här filen innehåller ett obfuskerat makro som använde en kombination av PowerShell och MSHTA för exekvering.
Det finns också en funktion för att inaktivera Windows Defender, som följer med AgentTesla. Dessutom finns det en schemalagd uppgift skapad av VBS-skriptet, som körs varje timme och hämtar en kryptovaluta-stjuver från en Blogger-URL.
I det andra fallet är det en annan RAT som heter Warzone som levereras. Även om Netskope inte har delat många detaljer om detta, sa de att en dedikerad kryptovaluta-stöldare också är involverad i denna kampanj, som observerar urklippsdata från offrets system, och ersätter kryptovalutans plånboksadress med något som tillhör hackaren när det upptäcks.
De plånböcker för kryptovaluta som stöds är Bitcoin, Ethereum, XMR, DOGE och mer. Forskarna på Netskope har delat med sig av den kompletta listan över IoC, och även nämnt plånböckerna som används av aktörerna på detta GitHub-sida för medvetenhet.
Hotaktörer ses också använda legitima molntjänster, från vilka de kan vara värd för och hämta sina skadliga nyttolaster. Denna metod följs eftersom det är mindre sannolikt att säkerhetssystemen lyfter flaggor.