Nuevas vulnerabilidades en Microsoft Office
Check Point Software Technologies, proveedor líder especializado en ciberseguridad a nivel mundial, revela los detalles de una vulnerabilidad en Microsoft Office 2007, 2010, 2013 y 2016.
El equipo de Check Point de investigación de amenazas descubrió el fallo hace tiempo y, aunque se lanzó un parche poco después, se ha detectado recientemente un uso de esta vulnerabilidad para propagar malware de robo de datos como AgentTesla y Loki.
Las capacidades del malware incluyen el robo de credenciales de inicio de sesión del usuario a través de Google Chrome, Mozilla Firefox, Microsoft Outlook y otros, con capturas de pantalla, grabación de webcams e instalación de malware adicional en los equipos infectados.
Sin embargo, debido a la naturaleza de este nuevo malware, que utiliza técnicas de ofuscación de código altamente evasivas, la mayoría de los antivirus no lo han detectado hasta el momento. Porque, aunque pensemos que los formatos de documentos de Word modernos son más seguros que los archivos RTF o DOC, en esta quinta generación de ataques, los ciberdelincuentes buscan ir un paso por delante y adaptar sus técn icas para sortear las barreras tradicionales.
¿Cómo se produce la infección?
El ataque comienza cuando un usuario abre un fichero RTF (Rich Text Format) malicioso utilizando Microsoft Word. Poco después, Word lanza un proceso (denominado svchost) para abrir el Editor de Ecuaciones de Microsoft (una aplicación auxiliar utilizada para crear ecuaciones matemáticas incrustadas en los documentos de Word). En circunstancias normales, este debería ser el final del proceso, sin embargo, en el caso de AgentTesla, la aplicación Editor de Ecuaciones continúa de forma automática, y muy sospechosa, lanzando sus propios ejecutables.
El ejecutable que lanza, llamado "scvhost.exe", es sorprendentemente similar en nombre al proceso que lanzó el propio editor de ecuaciones. Es en este punto, cuando se inicia el segundo proceso, se establece una conexión con el servidor de Comando y Control (C&C) del ciberatacante y se envía el malware para infectar el ordenador de la víctima.