Эксперты компании SentinelOne выявили методику распространения вредоносной программы Zusy посредством презентации PowerPoint. Для выполнения кода вредоносная программа использует не макросы, а PowerShell-сценарий.
Распространение презентации PowerPoint, содержащей вредоносную программу, осуществляется посредством рассылки спам-писем, в которых указана тема «Purchase Order #130527» или «Confirmation».
При открытии файла загружается не обычный макрос, как в случае с другими подобными кампаниями, на экране появляется строка «Loading…Please wait».
PowerShell-сценарий запускается, когда пользователь наводит мышь на упомянутую выше надпись. Благодаря встроенным защитным механизмам Microsoft Office сценарий не запускается в автоматическом режиме. В большинстве случаев на экране появится уведомление, содержащее запрос на разрешение запуска внешнего приложения.