Los piratas informáticos están intentando infectar los ordenadores de todo el mundo utilizando un nuevo método que emplea el CVE-2.017 a 0.199 explotar. Los atacantes han ideado un nuevo método que los abusos de una función encuentra en en las nuevas versiones de Microsoft Office.
Microsoft Office Característica abuso por medio de CVE-2017-0199 Exploit
analista de seguridad han sido capaces de detectar una nueva campaña de hackers peligrosos que utiliza un método de infección. Los expertos fueron capaces de detectar el abuso de archivos de Microsoft Office que ha dado lugar a la entrega de ejemplares de malware. La única cosa sobre los incidentes es que utilizan una nueva estrategia mediante la explotación de una nueva característica que ha sido recientemente integrado en la suite de Microsoft Office.
El actual exploit se describe como la siguiente:
Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016, Microsoft Windows Vista SP2, Windows Server 2008 SP2, Ventanas 7 SP1, Ventanas 8.1 permite a atacantes remotos ejecutar código arbitrario a través de un documento elaborado, aka “Microsoft Office / WordPad vulnerabilidad de ejecución remota de código w / API de Windows.”
Efectivamente, esto permite que el malware que se inserta en los documentos por abusar de la actualización automática de los enlaces incorporados. Esta es una nueva características que ahora está activada de forma predeterminada en todos los documentos de nueva creación. Si los recursos externos están vinculados en los archivos del programa pertinente (Microsoft Word, Excel y etc.) se actualizará automáticamente si se realizan cambios.
La vía de infección sigue un escenario clásico - los hackers crean documentos infectados utilizando medios automáticos. Los archivos siguen un patrón predefinido que puede ser alterado a voluntad. Las muestras recogidas escaparate que los documentos se titulan “N_Order # xxxxx.docx” donde el “xxxxx” denotar un número generado al azar. Cuando se abren los enlaces incrustados conducen a otro documento (Las versiones actuales incrustar un archivo RTF) que desencadena la CVE 2017-0199 explotar. El archivo de software malicioso está alojado en un servidor de descarga pirata informático controlado. El archivo RTF en sí desencadena una carga útil basado en Javascript que utiliza PowerShell para descargar un software malicioso de hackers proporcionado. Un ataque similar se informó a través de una presentación de diapositivas de PowerPoint Open XML (PPSX) archivo que proporciona un troyano keylogger que permite a los hackers tomar el control de las máquinas infectadas.
Microsoft Office malware a través de CVE-2017-0199 Análisis Exploit
Las muestras capturadas asociados con el CVE-2017-0199 explotan han sido analizados por los investigadores de seguridad. Se ha encontrado que afecta a una gran cantidad de archivos y carpetas como: plantillas de Microsoft Office, Los archivos de configuración, los documentos del usuario, Configuraciónes locales, Galletas, Archivos temporales de Internet, Datos de la aplicación y relacionado.
Durante el proceso de infección del malware exhibe acciones típicas secuestrador como navegador. El código del virus extrae información sensible de los navegadores web instalados. Dependiendo de la muestra obtenida la lista puede incluir las siguientes aplicaciones: Mozilla Firefox, Safari, Internet Explorer, Google Chrome y Microsoft Edge. El tipo de datos cosechadas puede incluir cualquiera de lo siguiente: historia, los datos del formulario, marcadores, contraseñas, Credenciales de cuenta, la configuración y las galletas.
Exploit se ha encontrado el CVE-2017-0199 para iniciar una función de protección de sigilo peligrosa retrasando su motor de infección. Este es un intento de engañar a los antivirus firmas comprobar como la mayoría de los virus informáticos inmediatamente comienza a infiltrarse en las máquinas comprometidas.
El troyano incluye con el CVE-exploit desde 2017 hasta 0199 se ha encontrado para los datos del informe a los piratas informáticos a través de su propia infraestructura de red. Otras acciones maliciosas incluyen la creación de un malicioso entrada de inicio de Windows. Esto significa que el código de Troya se inicia cada vez que se inicia el equipo. En efecto, esto significa que los hackers pueden superar un control completo del sistema operativo y los archivos de usuario.
Consecuencias de la CVE-2017-0199 Exploit ataques
Como resultado de las infecciones de las computadoras comprometidas se quedan con una instancia de Troya que puede ser modificado con otras versiones. Mientras que las campañas de ataque actuales han encontrado que cuentan con el malware en cuestión, esperamos que esta característica integrada en paquetes de exploits y botnets. Pueden distribuir ransomware avanzada que puede causar daños mucho más graves a los ordenadores victima.
Otras consecuencias posibles incluyen los siguientes:
- Reclutamiento botnet - Los ordenadores infectados pueden ser atraídos a una red botnet en todo el mundo. Cuando esto se hace con los recursos de los ordenadores de los usuarios se utilizan para propagar malware a los objetivos siguiendo un escenario predefinido emitida por los piratas informáticos que controlan.
- Infección de malware adicional - Las computadoras comprometidas pueden infectarse con otras amenazas según las indicaciones de los piratas informáticos.
- El robo de identidad - Los delincuentes pueden utilizar la información obtenida, junto con otros archivos recuperados de las máquinas para llevar a cabo delitos como el abuso financiero y el robo de identidad.
- El robo de datos - Los creadores de malware pueden usar el troyano para robar datos privados de su elección a través de la conexión de red.
Los usuarios pueden protegerse mediante el empleo de un estado de la solución de la técnica anti-spyware. Se puede proteger eficazmente contra todo tipo de virus y amenazas relacionadas y eliminar las infecciones activas con el clic del ratón.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: