- Los atacantes encontraron una nueva forma dentro de su computadora, dejando expuestos todos sus datos.
- Esta vez, los ciberdelincuentes ingeniosos se aprovecharon de un parche crítico de Microsoft Office.
En este mundo en línea en constante crecimiento y cambio constante, las amenazas se han vuelto tan comunes y tan difíciles de detectar que, mantenerse protegido es solo cuestión de estar un paso por delante de los atacantes.
Nuevos resultados de investigación publicados por firma de ciberseguridad Sophos, muestran que terceros malintencionados pudieron tomar un exploit de Office de prueba de concepto disponible públicamente y convertirlo en un arma para entregar el malware Formbook.
Al parecer, los ciberdelincuentes lograron crear un exploit capaz de eludir una vulnerabilidad crítica de ejecución remota de código en Microsoft Office, que fue parcheado a principios de este año.
Los atacantes evitan un parche crítico de Microsoft Office con un exploit
No es necesario retroceder tanto tiempo para averiguar dónde empezó todo. En septiembre, Microsoft lanzó un parche para evitar que los atacantes ejecutaran código malicioso incrustado en un documento de Word.
Gracias a esta falla, se descargaría automáticamente un archivo Microsoft Cabinet (CAB), que contenía un ejecutable malicioso.
Esto se logró reelaborando el exploit original y colocando el documento de Word malicioso dentro de un archivo RAR especialmente diseñado, que entregó una forma del exploit capaz de evadir con éxito el parche original.
Además, este último exploit se entregó a sus víctimas mediante correos electrónicos no deseados durante aproximadamente 36 horas antes de desaparecer por completo.
Los investigadores de seguridad de Sophos creen que la vida útil limitada del exploit podría significar que se trataba de un experimento de prueba que podría utilizarse en futuros ataques.
Las versiones previas al parche del ataque involucraban código malicioso empaquetado en un archivo Microsoft Cabinet. Cuando el parche de Microsoft cerró esa laguna, los atacantes descubrieron una prueba de concepto que mostraba cómo se podía agrupar el malware en un formato de archivo comprimido diferente, un archivo RAR. Los archivos RAR se han utilizado antes para distribuir código malicioso, pero el proceso utilizado aquí fue inusualmente complicado. Probablemente tuvo éxito solo porque el mandato del parche se definió de manera muy estrecha y porque el programa WinRAR que los usuarios deben abrir el RAR es muy tolerante a fallos y no parece importarle si el archivo tiene un formato incorrecto, por ejemplo, porque ha sido manipulado.
También se descubrió que los atacantes responsables habían creado un archivo RAR anormal que tenía un script de PowerShell anteponiendo un documento de Word malicioso almacenado dentro del archivo.
Para ayudar a difundir este peligroso archivo RAR y su contenido malicioso, los atacantes crearon y distribuyó correos electrónicos no deseados que invitaban a las víctimas a descomprimir el archivo RAR para acceder a Word documento.
Así que es mejor que tenga esto en cuenta cuando trabaje con este software y si algo parece remotamente sospechoso.
Mantenerse a salvo debe ser la prioridad número uno para todos nosotros cuando se trata de Internet. Las acciones simples que pueden parecer inofensivas en primer lugar, pueden desencadenar serias cadenas de eventos y consecuencias.
¿También fue víctima de estos ataques de malware? Comparta su experiencia con nosotros en la sección de comentarios a continuación.