Messaggi di posta elettronica consegnando il malware non è una novità, ma questa campagna merita attenzione perché utilizza un exploit precedentemente patchato e richiede l'interazione a zero.
Una campagna di malware attivo che utilizza le email in lingue europee distribuisce file RTF che portano la CVE-2.017-11.882 exploit, team di Microsoft Security Intelligence ha recentemente avvertito. L'exploit consente agli aggressori di eseguire automaticamente il codice dannoso, senza la necessità di alcun intervento da parte dell'utente.
Di più su CVE-2.017-11.882
La vulnerabilità è stata usata in combinazione con molti altri in una campagna di fornitura CobInt Trojan nel settembre dello scorso anno. Secondo la sua descrizione ufficiale, Microsoft Office 2007 Pacchetto d'aggiornamento 3, Microsoft Office 2010 Pacchetto d'aggiornamento 2, Microsoft Office 2013 Pacchetto d'aggiornamento 1, e Microsoft Office 2016 consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto dell'utente corrente omettendo di gestire correttamente oggetti.
Un utente malintenzionato che riesca a sfruttare CVE-2.017-11.882 può eseguire codice arbitrario nel contesto dell'utente corrente. Se l'utente corrente è connesso con privilegi di amministrazione, un utente malintenzionato potrebbe assumere il controllo del sistema interessato a installare programmi e visualizzare, modificare, o cancellare i dati. Un utente malintenzionato potrebbe anche creare nuovi account con diritti utente completi.
E 'curioso notare come Microsoft patch CVE-2.017-11.882 manualmente nel mese di novembre 2017. Nonostante essendo fissato, l'exploit è ancora utilizzata in attacchi, e Microsoft osservata una maggiore attività nelle ultime settimane.
Infatti, CVE-2.017-11.882 è una delle vulnerabilità più sfruttate, e anche fatto alla Registrato lista di Future dedicata alla 10 le vulnerabilità più sfruttate in 2018.
La campagna attuale prevede il download di un file RTF che corre più scrips come VBScript, PowerShell, PHP. Gli script poi scaricare il carico utile identificato come Trojan:MSIL / Cretasker.. L'attacco non finisce qui però, come payload backdoor tenta di connettersi a un dominio malevolo che è attualmente in giù, Microsoft ha spiegato in una serie di tweets.