Los distribuidores de spam están utilizando una nueva técnica para infectar a los usuarios con malware, y aunque este ataque depende de que los usuarios abran documentos de Word, no implica que los usuarios tengan que permitir la ejecución de macro scripts.

Esta nueva técnica sin macro se encuentra actualmente bajo explotación activa, siendo detectada por los investigadores de Trustwave SpiderLabs en una campaña de malware en curso.

La compañía dice que los delincuentes están usando esta técnica multifásica, sin macros para infectar a los usuarios con un robador de contraseñas. Actualmente, la evidencia sugiere que sólo un grupo está usando este novedoso truco, aunque seguramente será adoptado por otros.

Nueva cadena de explotación de la técnica

La cadena de explotación real se detalla a continuación y se basa en un gran número de recursos, como DOCX, RTF, HTA, VBScript y PowerShell.

⏩Una víctima recibe un correo electrónico spam con un archivo DOCX adjunto.

⏩La víctima descarga y abre el archivo DOCX.

⏩El archivo DOCX contiene un objeto OLE incrustado.

⏩El objeto OLE descarga y abre un archivo RTF (disfrazado como DOC).

⏩El archivo? DOC usa la vulnerabilidad CVE-2017-11882 Office Equation Editor.

⏩El código de explotación ejecuta una línea de comandos MSHTA.

⏩La línea de comandos MSHTA descarga y ejecuta un archivo HTA.

⏩El archivo HTA contiene un VBScript que desempaqueta un script PowerShell.

⏩PowerShell descarga e instala el programa para robar contraseñas.

⏩El malware roba contraseñas de navegadores, correo electrónico y clientes FTP.

⏩El malware carga datos a un servidor remoto.

 

 

Trustwave dice que ha visto este truco siendo utilizado con documentos maliciosos que llegan a través de correos electrónicos con las siguientes líneas de asunto, aunque es probable que muchos cambien para mañana o la próxima semana.

La única forma de mantener la seguridad es si los usuarios rompen de alguna manera la cadena de explotación de esta nueva técnica. La forma más fácil es mantener Windows y Office actualizados.

Las actualizaciones de seguridad de Microsoft del martes de Enero del 2018 incluyeron un parche que eliminó parte de la funcionalidad del Editor de ecuaciones para mitigar la vulnerabilidad CVE-2017-11882. Por lo tanto si tiene su sistema operativo y el Office totalmente actualizado no tendra de qué preocuparse.

También, los usuarios deben tener como medida de seguridad básica, el evitar siempre de descargar y abrir todo tipo de documentos, y otros archivos, que les lleguen por el correo electrónico, de fuentes desconocidas, pues de seguro en la mayoría de las ocasiones seguramente se traten de amenazas informáticas que pueden poner en peligro su computadora.

Los IOCs están disponibles en el informe de Trustwave detallando este nuevo ataque.

Fuente: BleepingComputer

Anuncios