Microsoft Office, la puerta de entrada más popular

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

Investigadores de seguridad han descubierto una nueva campaña de malware que propaga un malware de botnet avanzado aprovechando al menos tres vulnerabilidades divulgadas recientemente en Microsoft Office.

Apodado Zyklon, el malware con todas las funciones ha resurgido después de casi dos años y se ha centrado principalmente en los servicios de telecomunicaciones, seguros y financieros.

Activo desde principios de 2016, Zyklon es un malware botnet HTTP que se comunica con sus servidores de comando y control sobre la red anónima de Tor y permite a los atacantes robar keylogs, datos confidenciales, como contraseñas almacenadas en navegadores web y clientes de correo electrónico.

El malware Zyklon también es capaz de ejecutar complementos adicionales, incluido el uso secreto de sistemas infectados para ataques DDoS y minería de criptomonedas.

Actualmente se han encontrado diferentes versiones del malware Zyklon publicándose en un popular mercado clandestino por $ 75 (construcción normal) y $ 125 (construcción habilitada para Tor).

Según un informe publicado recientemente por analistas, los atacantes detrás de la campaña están aprovechando tres vulnerabilidades siguientes en Microsoft Office que ejecutan un script de PowerShell en las computadoras objetivo para descargar la carga final de su servidor de C & C.

1) Vulnerabilidad de .NET Framework RCE (CVE-2017-8759)

2) Vulnerabilidad de Microsoft Office RCE (CVE-2017-11882)

3) Protocolo de intercambio de datos dinámico (DDE Exploit

Según lo explicado por los investigadores, los atacantes están explotando activamente estas tres vulnerabilidades para entregar malware Zyklon utilizando correos electrónicos de spear phishing, que generalmente llegan con un archivo ZIP adjunto que contiene un archivo doc de Office malicioso.

Una vez abierto, el archivo de documento malicioso equipado con una de estas vulnerabilidades ejecuta inmediatamente un script de PowerShell, que finalmente descarga la carga final, es decir, el malware Zyklon HTTP, en la computadora infectada.

Curiosamente, la secuencia de comandos de PowerShell se conecta a una dirección IP sin puntos (por ejemplo: http: // 3627732942) para descargar la carga útil final.

¿Qué es Dotless IP Address?

Si no lo sabe, las direcciones IP sin puntos, a veces denominadas ‘Dirección decimal’, son valores decimales de las direcciones IPv4. Casi todos los navegadores web modernos resuelven la dirección IP decimal en su dirección IPV4 equivalente cuando se abre con “http: //” siguiendo el valor decimal.

Por ejemplo, la dirección IP de Google 216.58.207.206 también se puede representar como

http: // 3627732942 en valores decimales.

La mejor manera de protegerse y proteger a su organización de tales ataques de malware es siempre sospechar de cualquier documento no invitado enviado por correo electrónico y nunca hacer clic en los enlaces dentro de esos documentos a menos que se verifique adecuadamente la fuente.

 

Por Josep Verdura – Analista de Seguridad de Vintegris