Görünene göre Windows Object Linking Embedding (OLE) ara yüzündeki bir açık, Microsoft PowerPoint aracılığı ile kötü amaçlı yazılım yüklemek için siber suçlular tarafından kullanılmış durumda. Güvenlik firması Trend Micro'nun yeni raporuna göre bu ara yüz açığından genellikle Zengin Metin Belgesi (RTF) dosyalarının kullanımı ile faydalanılıyordu. Ancak yeni keşif, PowerPoint slayt dosyalarının da, bir süre öncesine kadar bu iş için kullanıldığını ortaya koyuyor.
Genellikle olduğu gibi buradaki sorun da bir dosyaya sahip olan "phishing" e-postası ile başlıyor. Mesaj, bir çeşit sipariş isteği gibi gözüküyor ve ekteki dosyanın da sipariş ile ilgili bilgiler içerdiği söyleniyor.
Biraz dikkatle bakıldığında bu ek belgenin PPSX dosyası olduğu gözüküyor. Bu da bir slayt gösterisinin sadece okunabilir ancak değiştirilemez bir kopyası anlamını taşıyor. Ancak bu dosya CVE-2017-0199 açığını kullanarak kurbanın bilgisayarını ele geçiriyor. PowerPoint animasyonları ile çalışan kötü amaçlı bir kod çalıştırılıyor ve ardından da "logo.doc" adlı bir dosya indiriliyor.
Bu dosya da aslında bir JavaScript kodunu içeren bir XML dosyası ve "RATMAN.exe" adlı yeni bir programı indirmek için bir PowerShell komutunu çalıştırıyor. Bu program da Remcos adlı bir uzaktan erişim aracının "trojanlaştırılmış" bir sürümü olarak tanımlanıyor. Daha sonra da Komut ve Kontrol sunucusu ile bağlantı kuruluyor.
Remcos basılan tuşları kaydedebiliyor, ekran görüntüsü alabiliyor, video ile ses kaydı yapabiliyor ve hatta daha fazla kötü amaçlı yazılım indirebiliyor. Bunun yanı sıra etkilenen bilgisayara tam erişim de sağlayabiliyor.
Trend Micro'nun söylediğine göre Microsoft bu açığı bir süre önce kapattı. Bu yüzden de tehlikenin geçmiş olduğunu düşünebilirsiniz. Ama unutmayın; yayınlanan güncellemeleri yüklemeyen o kadar çok kullanıcı var ki...