Los investigadores de seguridad han descubierto un nuevo ataque malicioso que implica exploits conocidos con el fin de eludir las soluciones de seguridad. La campaña se está extendiendo ladrones de información, o piezas de software espía sofisticado. Más específicamente, los atacantes se están extendiendo una roba información sofisticado troyano conocido como Agente de Tesla, así como la información de ladrón de Loki.
Campañas maliciosas del agente Tesla – actualización de agosto 2019
De acuerdo con los nuevos datos, el malware Agent Tesla es actualmente empleando esteganografía en sus últimas campañas de malspam. La esteganografía es la práctica de ocultar un archivo., mensaje, imagen, o video dentro de otro archivo, mensaje, imagen, o video. De hecho, la esteganografía es un viejo truco en la distribución de malware, y literalmente significa ocultar código dentro de una imagen normal que, en la mayoría de los casos, no se puede verificar en busca de malware.
Detalles técnicos sobre el ataque sofisticado, Evading de la detección
Los investigadores de seguridad en Cisco Talos detectado "un documento muy sospechoso que no fue recogido por soluciones antivirus comunes".
Los atacantes detrás de esta nueva forma de ataque han desplegado un conocido exploit cadena. Sin embargo, se ha modificado de tal manera que no se detecta por las soluciones de seguridad.
El Agente de Troya Tesla está diseñado para robar información de acceso de varias piezas de software, como Google Chrome, Mozilla Firefox, Microsoft Outlook, entre otros. El troyano también puede realizar capturas de pantalla, webcams récord, y permiten a los atacantes instalar malware adicional en los sistemas infectados, los investigadores dijeron.
El troyano también es capaz de realizar otras actividades maliciosas como el seguimiento y la recogida de las entradas del teclado, portapapeles del sistema, realizar capturas de pantalla, y exfiltrating recogido información sensible. Sin embargo, el Agente Tesla no es la única pieza de malware que se distribuye en esta campaña - Loki, otro ladrón de información, También se ha caído en las máquinas de las víctimas.
Dos Microsoft Word Exploits Abusados: CVE-2017-0199 y CVE-2017-11882
En cuanto a los exploits que son utilizados por los adversarios – dos exploits públicos para las vulnerabilidades de Microsoft Word CVE-2017-0199 y CVE-2017 a 11.882 se utilizan en el supuesto de un ataque malicioso.
El CVE-2017-0199 explotar, en particular, estaba utilizado en ataques en 2017 cuando los actores de amenaza abusados archivos de Microsoft Office para entregar varios ejemplares de malware. La única cosa sobre los incidentes es que utilizan una nueva estrategia mediante la explotación de una característica relativamente nueva que se integra en el paquete de Microsoft Office año pasado.
CVE-2017 a 11.882 es otro conocido de Microsoft Office explotar que fue detectado en las campañas maliciosas en septiembre de este año, que fueron la entrega de la CobInt de Troya.
El archivo .docx y el archivo RTF
La actual campaña, descubierto y se analizaron por Cisco Talos, comienza con la descarga de un malintencionado de Microsoft .archivo DOCX. El archivo tiene instrucciones para descargar una determinada archivo RTF Del documento. Esta es la actividad que está sin ser detectado por los antivirus.
De acuerdo con los investigadores:
En el momento se analizó el archivo, casi no tenía detecciones en el sitio web de la exploración antivirus de varios motores VirusTotal. Sólo dos de cada 58 antivirus encontraron nada sospechoso. Los programas que marcan este ejemplo sólo se advierten acerca de un archivo RTF con formato incorrecto.
El formato de texto enriquecido, o RTF para abreviar, es un formato de archivo de documento de propiedad con las especificaciones publicadas desarrollado por Microsoft Corporation de 1987 hasta 2008 para multiplataforma intercambio de documentos con los productos Microsoft.
Los archivos RTF no son compatibles con cualquier lenguaje de macros, pero sí admite la vinculación e incrustación de objetos de Microsoft (NO) objetos y objetos de suscriptor para Macintosh Manager a través de la ‘ objeto’ palabra de control. El usuario puede vincular o incrustar un objeto del mismo o de diferente formato en el documento RTF.
En otras palabras, es posible que los usuarios vincular o incrustar objetos en el archivo RTF, pero la ofuscación necesita ser añadido. También debe tenerse en cuenta que cualquier cosa que el archivo RTF no reconoce tiende a ser ignorado.
Los investigadores no fueron capaces de entender completamente cómo el actor amenaza ha modificado manualmente el exploit, o si se utiliza una herramienta para producir el código shell. “De cualquier manera, Esto demuestra que el actor o sus herramientas tienen [la] capacidad de modificar el código ensamblador de tal manera que los bytes de código de operación resultantes aspecto completamente diferente, pero aún así explotar la misma vulnerabilidad.”
Los expertos en seguridad también están esperando para ver esta nueva técnica incluida en otras campañas maliciosas entrega de otros ejemplares de malware.