Los correos electrónicos entregando malware no es noticia, pero esta campaña merece atención, ya que utiliza un exploit previamente parcheado y requiere la interacción cero.
Una campaña de malware activo que utiliza mensajes de correo electrónico en las lenguas europeas distribuye los archivos RTF que llevan el CVE-2017 hasta 11.882 exploit, equipo de seguridad de Microsoft de Inteligencia advirtió recientemente. La vulnerabilidad permite a un atacante la ejecución automática de código malicioso sin la necesidad de ninguna interacción del usuario.
Más sobre CVE-2017-11882
La vulnerabilidad fue utilizada en combinación con varios otros en una campaña de entrega de CobInt de Troya en septiembre del año pasado. Según su descripción oficial, Microsoft Office 2007 Paquete de servicio 3, Microsoft Office 2010 Paquete de servicio 2, Microsoft Office 2013 Paquete de servicio 1, y Microsoft Office 2016 permitir a un atacante ejecutar código arbitrario en el contexto del usuario actual al no manejar adecuadamente los objetos en.
Un atacante que aprovechara CVE-2017-11882 podría ejecutar código arbitrario en el contexto del usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un atacante podría tomar el control del sistema afectado para instalar programas o vista, cambio, o borrar datos. Un atacante también podría crear nuevas cuentas con derechos de usuario.
Es curioso notar que Microsoft corrigió CVE-2017-11882 manualmente en noviembre 2017. A pesar de ser fijado, el exploit está siendo utilizados en los ataques, y Microsoft observa una mayor actividad en las últimas semanas.
De hecho, CVE-2017 a 11.882 es una de las vulnerabilidades más explotadas, y que incluso lo hizo a la lista de Recorded Future dedicada a la 10 vulnerabilidades más explotadas en 2018.
La actual campaña implica la descarga de un archivo RTF que se ejecuta varios scripts como VBScript, Potencia Shell, PHP. Las secuencias de comandos a continuación, descarga la carga útil identificado como Troya:MSIL / Cretasker.. El ataque no termina aquí, sin embargo, como la carga útil de puerta trasera intenta conectarse a un dominio malicioso que está actualmente abajo, Microsoft explica en una serie de tweets.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: