W ostatnich dniach wykryto groźnego konia trojańskiego, który jest przemycany w załącznikach z prezentacjami programu PowerPoint. Prezentacja zawiera na jednym ze slajdów napis „Loading…Please wait” po najechaniu (!) którego wywoływany jest złośliwy skrypt w PowerShell’u.

Skrypt pobiera z domeny cccn.nl pliki konia trojańskiego, który umożliwia zdalne przejęcie kontroli nad komputerem.

MD5 załącznika (i wgrywanych plików):
order.ppsx 823c408af2d2b19088935a07c03b4222
C:\Users\Current User\AppData\Local\Temp\168.gop 9B5AC6C4FD5355700407962F7F51666C
C:\Users\Current User\AppData\Local\Temp\484.exe
C:\Users\Current User\AppData\Roaming\Microsoft\Internet Explorer\sectcms.exe 13CDBD8C31155610B628423DC2720419
C:\Users\Current User\AppData\Local\Temp\ii.jse F5B3D1128731CAC04B2DC955C1A41114

Adresy C&C:
cccn.nl (46.21.169.110)

Źródło (w jęz. ang.):
https://www.dodgethissecurity.com/2017/06/02/new-powerpoint-mouseover-based-downloader-analysis-results/