Los expertos en seguridad informática advierten sobre un ataque peligroso y continuo contra usuarios de macOS mediante el uso de una falla descrita en el aviso CVE-2019-1457. Los grupos de piratas informáticos están abusando de esta falla para planificar y ejecutar infecciones complejas. Esto se considera una de las cadenas de exploits basadas en documentos más peligrosas de los últimos tiempos..
Usuarios de macOS atacados a través de exploits complejos CVE-2019-1457 utilizando documentos infectados con macros
Los ataques de documentos basados en macros son uno de los mecanismos populares que los delincuentes informáticos utilizan ampliamente en Windows. Aunque la mayoría de ellos utiliza un enfoque relativamente simple al incrustar una carga útil que se descarga directamente en las macros de los archivos fraudulentos, ahora hay un método mucho más complejo que se ha detectado.
El aviso CVE-2019-1457 muestra cómo se lleva a cabo el enfoque de ataque popular en la mayoría de los casos. Este es un error que se encuentra en las versiones de Microsoft Office y que también se conoce como Desviación de la característica de seguridad de Microsoft Office Excel — insertándolo en los archivos de destino. Se confirma que esto funciona con la versión 2016 y 2019 en macOS. Los hackers crearán datos de usuario objetivo e insertarán las macros maliciosas en ellos. Por lo general, se programarán para incluir algún tipo de operador de carga útil para cierto malware.
Usando tácticas avanzadas de hackers y macros creadas de esta manera sofisticada, los analistas descubrieron que es posible abusar del perfil de sandbox de la aplicación de Office que anula la seguridad del programa. Como resultado, los creadores de malware pueden crear un archivo en cualquier lugar del sistema de archivos de destino.. Como resultado, los documentos macroinfectados creados de esta manera se pueden utilizar para lanzar malware local complejo con los pasos necesarios que eludirán la seguridad del sistema operativo. Como resultado, las siguientes acciones se pueden ejecutar al instalar cualquier tipo de carga de malware:
- Bypass de funciones de seguridad — Los comandos que se pueden insertar en el código alojado se pueden usar para omitir las aplicaciones y servicios de seguridad que pueden ser parte del sistema operativo. Esto incluye clientes antivirus, cortafuegos, sistemas de detección de intrusos y hosts de máquina virtual.
- Los cambios de configuración del sistema — El código de virus puede reprogramar el sistema, lo que puede provocar Modificaciones de valores del Registro de Windows o cambios en la configuración de arranque del sistema. Los usuarios experimentarán problemas de rendimiento al ejecutar ciertas funciones., pérdida de datos o incluso la eliminación de archivos confidenciales de usuario. En muchos casos, la carga útil transportada puede configurarse para que se inicie automáticamente cuando la computadora está encendida. También puede negar el acceso a ciertas opciones de recuperación.
- Cambios de archivos — En muchos casos, a través de estos documentos, los piratas informáticos pueden programar el programa de oficina subyacente para crear nuevos archivos o editar el contenido de los existentes..
Con este enfoque, se pueden distribuir muchos de los virus de todas las categorías populares.. Especialmente peligrosos son los Infecciones de cliente de caballo de Troya que se utilizan para tomar el control de los hosts. Más y más ransomware macOS también están siendo empujados usando este método. Estos son virus de encriptación de archivos que están diseñados para procesar archivos de usuario y luego extorsionar a las víctimas para un pago de criptomonedas.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: