hackers de computador estão agora a tentar computadores infecto em todo o mundo usando um novo método que emprega o CVE-2017-0199 explorar. Os atacantes criaram um novo método que abusa de uma função encontrada em nas novas versões do Microsoft Office.
Recurso do Microsoft Office abusado por meio da exploração CVE-2017-0199
O analista de segurança foi capaz de detectar uma nova campanha de hacker perigosa que usa um método de infecção. Os especialistas foram capazes de detectar o abuso de arquivos do Microsoft Office, o que levou à entrega de cepas de malware. A única coisa sobre os incidentes é que eles usaram uma nova estratégia, explorando um novo recurso que foi recentemente integrado ao pacote Microsoft Office.
O exploit real é descrito como o seguinte:
Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016, Microsoft Windows Vista SP2, Windows Server 2008 SP2, janelas 7 SP1, janelas 8.1 permitir que invasores remotos executem código arbitrário por meio de um documento elaborado, aka “Vulnerabilidade de execução remota de código do Microsoft Office / WordPad com API do Windows.”
Efetivamente, isso permite que malware seja inserido em documentos abusando da atualização automática de links incorporados. Este é um novo recurso que agora está ativado por padrão para qualquer documento recém-criado. Se algum recurso externo estiver vinculado aos arquivos, o programa relevante (Microsoft Word, Excel e etc.) irá atualizá-los automaticamente se alterações forem feitas.
A rota de infecção segue um cenário clássico - os hackers criam documentos infectados usando meios automatizados. Os arquivos seguem um padrão predefinido que pode ser alterado à vontade. As amostras coletadas mostram que os documentos são intitulados “N_Order # xxxxx.docx” onde o “xxxxx” denotam um número gerado aleatoriamente. Quando abertos, os links incorporados levam a outro documento (as versões atuais incorporam um arquivo RTF) que aciona o CVE 2017-0199 explorar. O arquivo de malware está hospedado em um servidor de download controlado por hacker. O próprio arquivo RTF aciona uma carga baseada em Javascript que usa o PowerShell para baixar um malware fornecido por hacker. Um ataque semelhante foi relatado por meio de um PowerPoint Open XML Slide Show (ppsx) arquivo que fornece um Trojan keylogger que permite que os hackers assumam o controle das máquinas infectadas.
Malware do Microsoft Office por meio de análise de exploração CVE-2017-0199
As amostras capturadas associadas ao exploit CVE-2017-0199 foram analisadas pelos pesquisadores de segurança. Foi descoberto que isso afeta um grande número de arquivos e pastas, como: Modelos do Microsoft Office, Arquivos de configuração, Documentos do usuário, Configurações locais, Biscoitos, Arquivos temporários de Internet, dados de aplicativos e relacionado.
Durante o processo de infecção, o malware exibe ações típicas do tipo sequestrador de navegador. O código do vírus extrai informações confidenciais dos navegadores da web instalados. Dependendo da amostra obtida, a lista pode incluir os seguintes aplicativos: Mozilla Firefox, Safári, Internet Explorer, Google Chrome e Microsoft Edge. O tipo de dados coletados pode incluir qualquer um dos seguintes: história, dados do formulário, favoritos, senhas, credenciais da conta, configurações e cookies.
Descobriu-se que o Exploit CVE-2017-0199 inicia um perigoso recurso de proteção furtiva, atrasando seu mecanismo de infecção. Esta é uma tentativa de enganar a verificação de assinaturas de antivírus, pois a maioria dos vírus de computador imediatamente começa a se infiltrar nas máquinas comprometidas.
O Trojan incluído com o exploit CVE-2017-0199 foi encontrado para relatar dados aos hackers por meio de sua própria infraestrutura de rede. Outras ações maliciosas incluem a criação de um Entrada de inicialização do Windows. Isso significa que o código de Trojan é iniciado toda vez que o computador é inicializado. Efetivamente, isso significa que os hackers podem assumir o controle total do sistema operacional e dos arquivos do usuário.
Conseqüências dos ataques de exploração CVE-2017-0199
Como resultado das infecções, os computadores comprometidos ficam com uma instância de Trojan que pode ser modificada com outras versões. Embora as campanhas de ataque atuais tenham revelado o malware em questão, esperamos ver esse recurso integrado a kits de exploração e botnets. Eles podem distribuir ransomware avançado, que pode causar danos muito mais graves aos computadores das vítimas.
Outras consequências possíveis incluem o seguinte:
- botnet Recrutamento - Os computadores infectados podem ser atraídos para uma rede mundial de bots. Quando isso é feito, os recursos das máquinas das vítimas são utilizados para espalhar malware para os alvos, seguindo um cenário predefinido emitido pelos hackers de controle.
- Infecção por malware adicional - Os computadores comprometidos podem ser infectados com outras ameaças conforme orientado pelos hackers.
- Roubo de identidade - Os criminosos podem usar as informações obtidas junto com outros arquivos recuperados das máquinas para realizar crimes, incluindo abuso financeiro e roubo de identidade.
- Roubo de dados - Os criadores do malware podem usar o cavalo de Tróia para roubar dados privados de sua escolha por meio da conexão de rede.
Os usuários podem se proteger empregando uma solução anti-spyware de última geração. Ele pode proteger eficazmente contra todos os tipos de vírus de computador e ameaças relacionadas e remover infecções ativas com o clique do mouse.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: