攻击者经常在寻找漏洞，以利用这些漏洞利用计算机并安装恶意软件。 这次，攻击者通过Microsoft PowerPoint利用Windows对象链接嵌入（OLE）中的漏洞。

根据安全公司趋势科技的报告，用于利用此漏洞的最常见的接口类型是使用RTF文件。 所有这些都是通过伪装PowerPoint幻灯片演示来完成的。 但是，这种作法很典型，会发送一封包含附件的电子邮件。 电子邮件中的内容已准备就绪，可以引起收件人的直接关注，并最大程度地增加了回复的机会。

显然，附件文档是PPSX文件，它是与PowerPoint相关的文件格式。 这种格式仅提供幻灯片的播放，但是编辑选项被锁定。 如果打开了文件，它将仅显示以下文本： CVE-2017-8570。 （Microsoft Office的另一个漏洞。） 。

实际上，打开文件将触发另一个名为CVE-2017-0199的漏洞的利用，然后将通过PowerPoint动画卸载恶意代码。 最终，将下载一个名为logo.doc的文件。 该文档由带有JavaScript代码的XML文件组成，该文件用于运行PowerShell命令并下载名为“ RATMAN.exe”的恶意程序。 这是称为的远程访问木马。

该木马可以记录击键，捕获屏幕截图，记录视频以及下载其他恶意软件。 从本质上讲，攻击者将完全控制您的计算机，并且实际上可以通过窃取包括银行密码在内的所有信息来造成严重破坏。 PowerPoint文件的使用非常巧妙，因为防病毒引擎将搜索RTF文件。

总而言之，微软已经在4月修补了该漏洞，这也是我们建议人们更新其PC的原因之一。 还有一个典型的技巧是避免从未知来源下载附件，只是不要这样做。