近日，网络犯罪者开发出了一种新型攻击技术，它可以利用发送PPT文件和鼠标悬停来让用户执行任意代码，并下载恶意程序。

　　使用经过特制的Office文件——特别是Word文档来传播恶意软件其实并不少见，此类攻击通常依靠社会工程学(对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段)来欺骗受害者，诱使其启用文档中嵌入的VBA宏。

　　然而，研究人员最近发现，一种全新的攻击手段开始以恶意PPT文件为载体，通过鼠标悬停事件执行PowerShell代码。这些名为“order.ppsx”或“invoice.ppsx”的文件通过垃圾邮件进行分发，其主题多为“采购订单#130527”或“待确认事项”等，伪装成商务邮件进行攻击。

　　安全专家RubenDanielDodge进行的分析显示，当恶意PPT被打开时，它将显示为一个可以点击的超链接，文本是“正在加载……请等待”。
 

　　有趣的部分来了。这种新型攻击方式的可怕之处是，只要用户将鼠标悬停在恶意链接上，即使你并没有点击，也会触发执行PowerShell代码。一般来说，大多数版本的Office都会默认启用安全防护功能，通知用户一些常见的风险，提示用户启用或禁用某些内容，但此类保护对悬停攻击却成效甚微。另外，这种攻击也不需要用户启用宏来执行代码，而是使用外部程序功能。

　　如果受害者中招，PowerShell代码将被执行并连接到网站“cccn.nl”。接下来就是常规套路了，随后会从该域名下载文件并执行，最终部署恶意程序downloader。
 

　　Dodge This Security博客在针对该恶意程序的分析中提到，首张PPT Slide1的“rID2”元素定义中可见其PowerShell命令，如上图所示。而下面这张图中标注的红色部分，就是悬停动作的具体定义了。
 

　　RubenDanielDodge已经在文中公布了其IoC。很不幸的是，他们发现这种攻击方式在此之前就已经有人在用了——被用来传播一种网银木马的变种，没错，就是大名鼎鼎的“Zusy”、“Tinba”或被称为“TinyBanker”。

　　关于PPT投递恶意软件为何会有这么多人中招，Sentinel One是这样分析的：

　　用户仍然习惯于允许外部程序运行，因为他们总是既懒又忙，要不就是屏蔽了宏就以为高枕无忧了。而且，一些配置可能在外部程序中执行起来比用宏更方便。

　　当然，这种攻击也并非无往不利。有安全公司指出，如果使用Power Point Viewer打开恶意PPT文件即可使攻击失效。另外，大多数版本的Office在执行代码之前都会警告用户，虽然效果有限，但在某些情况下也可以挽回部分损失。

(责任编辑：宋编辑)