【安全圈】鼠标悬停也中招！带毒 PPT 正用来传播 Graphite 恶意软件

【安全圈】鼠标悬停也中招！带毒 PPT 正用来传播 Graphite 恶意软件

　　赛风软件,照片合成的软件,帅哥软件据FreeBuf网站消息，俄罗斯黑客已经开始使用一种新的代码执行技术，该技术依赖于 Microsoft PowerPoint 演示文稿（PPT）中的鼠标移动来触发恶意 PowerShell 脚本传播 Graphite 恶意软件。

　　攻击者使用PPT 文件引诱目标，内容据称与经济合作与发展组织 (OECD) 相关，该组织是一个致力于刺激全球经济进步和贸易的政府间组织。

　　PPT 文件内有均以英文和法文提供使用 Zoom 视频会议应用的说明指导。

　　接下来，lmapi2.dll在之前由 DLL 创建的新线程上获取并解密第二个 JPEG 文件并将其加载到内存中。

　　Cluster25 详细说明了新获取的文件中的每个字符串都需要不同的 XOR 键来进行反混淆。生成的有效负载是可移植可执行 (PE) 形式的 Graphite 恶意软件。

　　“如果找到新文件，则下载内容并通过 AES-256-CBC 解密算法解密，恶意软件通过分配新的内存区域并执行接收到的 shellcode 来允许远程命令执行调用一个新的专用线程。”研究人员说道。

　　总结下来，Graphite 恶意软件的目的是让攻击者将其他恶意软件加载到系统内存中。

　　研究人员表示，攻击者的目标是欧盟和东欧国家国防和政府部门实体，并认为间谍活动已在进行中。