Ciberdelincuentes explotan vulnerabilidades de Microsoft Office para propagar ZYKLON malware.
¡Solicita tu auditoría WiFi empresarial!Click aquí
  • (55) 5219 8656
  • info@realnet.com.mx
Ciberdelincuentes explotan vulnerabilidades de Microsoft Office para propagar ZYKLON malware. Por: Miguel Martinez

 

 

 

 

Las campañas de SPAM que propagan malware HTTP de Zyklon intentan explotar 3 vulnerabilidades de Microsoft Office relativamente nuevas. Los ataques son dirigidos principalmente a empresas de telecomunicaciones, seguros y servicios financieros.

De acuerdo con los investigadores que detectaron las campañas, los ciberdelincuentes buscan recolectar contraseñas y datos de la cartea de criptomonedas junto con el reclutamiento de sistemas dirigidos para posibles ataques futuros de denegación de servicio distribuido.

¿Cómo funciona?

Los investigadores comentaron que los ataques comienzan con campañas de SPAM entregando archivos ZIP maliciosos que contienen uno de varios archivos tipo DOC que finalmente explotan una de las 3 vulnerabilidades de Microsoft Office.

Primera vulnerabilidad.

Se trata de un error de .NET framework (CVE-2017-8759) parcheado por Microsoft en octubre pasado. Los usuarios que abren un documento infectado dan permiso a los atacantes de instalar programas, manipular datos y crear nuevas cuentas con privilegios, dijo Microsoft. En el contexto del ataque descrito por los investigadores, el archivo DOC infectado contiene un objeto OLE incrustado, al ejecutarse, desencadena a descarga de un archivo DOC adicional desde una URL almacenada.

Segunda vulnerabilidad.

CVE-2017-11882 es un error de ejecución remota de código de 17 años que se encuentra en un ejecutable de Office llamado Editor de ecuaciones de Microsoft. Ese error fue parchado en noviembre de 2017. Casí de igual forma que la vulnerabilidad pasada, las víctimas abren un DOC especialmente diseñado para descargar automáticamente un archivo DOC adicional que contiene un comando de PowerShell utilizado para descargar la carga útil final.

La tercera vulnerabilidad no es considerada por Microsoft como tal. Esta vulnerabilidad se encuentra en Dynamic Data Exchange (DDE). Microsoft insiste en que se trata de una característica del producto, sin embargo, en noviembre publicó una guía para los administradores sobre como deshabilitar la función de forma segura a través de la nueva configuración de registro para Office.

DDE es un protocolo que establece a las aplicaciones que envían mensajes y comparten datos por medio de la memoria compartida. Los atacantes han tenido mucho éxito el año pasado con el malware basado en macros que explota DDE para lanzar droppers, exploits y malware.

"Zyklon es una puerta trasera disponible públicamente y con todas las funciones capaz de capturar las contraseñas, captura de contraseñas, descargar y ejecutar complementos adicionales, realizar ataques distribuidos de denegación de servicio (DDoS) y autoactualizar y eliminar automáticamente", escribió FireEye. "El malware puede descargar varios complementos, algunos de los cuales incluyen funciones como la extracción de criptomonedas y la recuperación de contraseñas, desde navegadores y software de correo electrónico".

Este tipo de amenazas nos dejan ver por qué es muy importante garantizar que todo el software esté completamente actualizado.

Algunas empresas no pueden tener el control total sobre esto, ya que los usuarios cierran las ventanas de actualización o simplemente lo posponen hasta que es demasiado tarde.

Uno de los beneficios de nuestro servicio HelpDesk Gurú es mantener actualizados todos los softwares, aplicaciones y dispositivos de la empresa. Evitando así, ser vulnerables ante nuevas o ya existentes amenazas informáticas.

Contáctanos para más información:

https://goo.gl/4u0Bk3

teléfono: (55) 5219 8656

Visita: www.realnet.com.mx

Fuente: threatpost

10
Ver todos los artículos en el siguiente enlace Todos los artículos