PowerPoint malware “Zusy” heeft geen macro’s nodig

Een nieuwe malware variant, genaamd “Zusy” verspreidt zich momenteel via e-mailspam met een besmet PowerPoint bestand dat zich voordoet als factuur of bevestiging van een bestelling.
Het bijzondere is dat de schadelijke software geen gebruik maakt van macro’s.

Als het besmette PowerPoint bestand wordt geopend verschijnt er een scherm met de link “Loading….Please wait”. Door slechts met de cursor over deze link heen te bewegen komt de malware in actie. Let op: er hoeft niet op de link te worden geklikt op de malware te activeren!

De malware maakt gebruik van in het PowerPoint bestand verborgen PowerShell commando’s die een extern programma opstarten. Office 2010 en 2013 tonen de gebruiker wel een waarschuwing met keuzemenu voordat de kwaadaardige code wordt uitgevoerd. Echter, gebruikers aan de knoppen blijft een risico.
Te snel klikken is zo gebeurd en mogelijk zijn sommige systeemconfiguraties minder goed voorbereid op het blokkeren van externe programma’s dan op het blokkeren van macro’s. De malware aanvallen richten zich op Europese landen waaronder Nederland.

Klanten van Must Commit zijn in elk geval wél beschermd tegen deze dreiging. Wilt u weten hoe we dat doen? Bel ons op 010 – 20 60 200 of ga naar https://www.mustcommit.nl/nl/ransomware-voorkomen/

Door: Ferry Plug

Geplaatst op: 22 juni 2017
Tags: , ,

Biografie

Ruim 20 jaar werkzaam in de ICT waarvan zo'n 10 jaar op het terrein van secure dienstverlening. Introduceerde onder meer de eerste door Interpay en Currence gecertificeerde pindiensten over TCP-IP in Nederland. Afgestudeerd aan de Erasmus Universiteit Rotterdam (MSc). Door (ISC)2 erkend als CISSP.