تعرض PowerPoint، برنامج العروض التقديمية الشهير من مايكروسوفت، للقرصنة مرة أخرى. وفقًا لباحثي أمن الكمبيوتر في Netskope، يستخدم المتسللون حاليًا مستندات بوربوينت لنشر البرامج الضارة مثل أحصنة طروادة ولصوص العملات المشفرة.
لعدة سنوات حتى الآن، أصبح بوربوينت هدفًا رئيسيًا للمتسللين. الأمثلة كثيرة. ففي عام 2017، كان المتسللون يستخدمون برنامج العروض التقديمية من مايكروسوفت للتسلل إلى أجهزة الكمبيوتر الخاصة بالمستخدمين، وذلك بفضل استغلال ثغرة أمنية. سمحت ثغرة أخرى في Microsoft Office للمهاجمين في نفس العام باستهداف مستخدمي وورد و بوربوينت و إكسيل.
ووفقاً لباحثي أمن الكمبيوتر في Netskope، فإن استخدام المتسللين لبرنامج بوربوينت لازال مستمراً. منذ أواخر عام 2021، بدأت العديد من مجموعات المتسللين في استخدام الخدمات السحابية المشروعة لاستضافة ملفات بوربوينت الضارة. بمساعدة وحدات الماكرو، يمكن للمهاجمين نشر جميع أنواع البرامج الضارة على الأجهزة المستهدفة.
وفقًا لبحث أجراه هؤلاء الخبراء، تهيمن ثلاث عائلات من البرامج الضارة حاليًا: Warzone و AgentTesla، وكلاهما من أحصنة طروادة القوية للوصول عن بُعد (RATs)، ولصوص العملات المشفرة. يدعي الباحثون أن ملف بوربوينت يحتوي على ماكرو غامض، يتم تشغيل تنفيذه من خلال مجموعة من أدوات ويندوز المضمنة، و PowerShell و MSHTA ( أحد مكونات ويندوز الذي يسمح بقراءة ملفات الامتداد).
بمجرد بدء التشغيل، يقوم برنامج VBS النصي بإنشاء إدخال جديد في ويندوز وتشغيل نصين آخرين. تم تنزيل برنامج AgentTesla الأول، بينما يقوم الآخرون بتعطيل حل مكافحة الفيروسات المدمج في ويندوز، وهو Microsoft Defender. إذا علمنا أن Agent Tesla يُستخدم لسرقة كلمات المرور التي تم إدخالها من المتصفح أو ضغطات المفاتيح أو محتويات الحافظة، فنحن لا نعرف سوى القليل جدًا عن إجراءات Warzone.
أما بالنسبة للحمولة الثالثة، فهي لص العملة المشفرة، والذي سيقوم أولاً بتحليل الحافظة الخاصة بك بحثًا عن المعرفات والأكواد المتعلقة بالمحفظة الرقمية. بمجرد العثور على هذه البيانات، يستبدلها المتسللون برموز محفظتهم الرقمية. في الواقع، يمكن للضحية تحويل الأموال مباشرة إلى المهاجمين دون أن تدرك ذلك. يعتبر الموقف حرجًا لدرجة أن مايكروسوفت قد اختارت تعطيل وحدات ماكرو Excel 4.0 افتراضيًا لحماية المستخدمين.
