Criminosos modificaram uma conhecida cadeia de exploits para distribuir o malware Agent Tesla sem alertar o software antivírus instalado no PC da vítima.
De acordo com a divisão Talos da Cisco, os criminosos criaram uma infraestrutura para distribuir múltiplas famílias de malware usando dois exploits para as vulnerabilidades CVE-2017-0199 e CVE-2017-11882 no Microsoft Word.
Estas duas vulnerabilidades forma corrigidas pela Microsoft em 2017.
Criminosos modificam exploit para distribuir o malware Agent Tesla
A nova campanha detectada pelos pesquisadores de segurança da divisão Talos pretende distribuir três malwares: o Agent Tesla, Loki e Gamarue. Os três são capazes de roubar informações, mas apenas o Loki não traz recursos de acesso remoto.
O ataque começa com uma mensagem de email contendo um documento do Word no formato .docx que inclui rotinas para o download e abertura de um arquivo .rtf malicioso – é este arquivo .rtf que passa sem ser detectado pelo antivírus instalado.
Apenas dois de 58 antivírus testados detectaram algo suspeito. Os programas que detectaram a amostra alertaram apenas sobre um arquivo .rtf formatado incorretamente. O AhnLab-V3 detectou ele como RTF/Malform-A.Gen e o Zoner detectou ele como RTFBadVersion.
Os pesquisadores dizem que as modificações feitas na cadeia de exploit permitiu que os documentos contendo as rotinas para download de malwares passassem pelos antivírus sem que fossem detectados.
Isto foi possível porque o formato RTF suporta a incorporação de objetos via OLE ((Object Linking and Embedding) e usa uma grande variedade de palavras de controle para definir o conteúdo presente. O fato de analisadores de RTF comuns também ignorarem o que eles não sabem também contribui para ocultação do código do exploit.
Neste cenário, os usuários não precisam mudar as configurações do Word ou clicar em algo para executar o exploit.
A ofuscação dentro da estrutura do arquivo .rtf não é a única coisa que ajuda o documento a passar pelo antivírus sem ser detectado. Uma análise mais profunda revelou que o atacante modificou os valores do cabeçalho OLE Object.
Seguindo o cabeçalho, os criminosos adicionaram dados sobre o que supostamente seria a marcação de uma fonte, mas que na verdade era o exploit para a vulnerabilidade CVE-2017-11882:
Os pesquisadores dizem que a técnica é perigosa e classificam o malware Agent Tesla como “um sofisticado trojan especializado no roubo de informações” que é promovido como um keylogger legítimo.
O malware Loki também cai na categoria de malwares com foco no roubo de informações. Já sobre o Gamarue, ele é usado para adicionar mais “PCs zumbis” a uma botnet.
A análise técnica da divisão Talos da Cisco pode ser vista na íntegra aqui.
O post Criminosos modificam exploit para distribuir o malware Agent Tesla apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br