Een beveiligingslek in PowerPoint dat vorig jaar door Microsoft werd gepatcht wordt nu actief gebruikt voor het infecteren van activisten in Tibet en Hong Kong met malware. De aanvallen zijn onderdeel van een grotere campagne die al jaren plaatsvindt. Opvallend is echter het gebruik van het PowerPoint-lek.

Voorheen gebruikten de aanvallers kwetsbaarheden in Microsoft Office die in respectievelijk 2010 en 2012 door Microsoft werden gepatcht. Het gebruik van het PowerPoint-lek zou voor het eerst in twee jaar een trendbreuk zijn. Voor de verspreiding van de PowerPoint-bestanden worden zowel e-mailbijlagen als links naar Google Drive gebruikt. Om activisten voor het risico van e-mailbijlagen te waarschuwen werd de campagne "Detach from Attachments" gestart. Er wordt juist geadviseerd om cloudopslag te gebruiken voor het uitwisselen van bestanden, zoals Google Drive.

Het feit dat de aanvallers nu ook Google Drive gebruiken is volgens de onderzoekers mogelijk een aanwijzing dat de aanvallers zich hierop aanpassen. Als gebruikers de PowerPoint-update van Microsoft niet hebben geïnstalleerd en de presentatie openen kunnen ze met een remote access Trojan (RAT) besmet raken. De malware zou door maar weinig virusscanners worden herkend.

In totaal zagen de onderzoekers van het Canadese CitizenLab vijf verschillende campagnes waarbij het PowerPoint-lek werd ingezet. Om gebruikers niets te laten vermoeden krijgen ze een echte presentatie te zien, terwijl in de achtergrond de malware wordt geïnstalleerd. "De hergebruikte content, lage detectie door virusscanners en dat gebruikers niet weten dat deze bestanden kwaadaardig zijn, zorgen ervoor dat deze aanvallen zorgwekkend zijn", aldus de onderzoekers.