A FireEye identificou uma nova campanha que está utilizando duas falhas no Office para espalhar o backdoor FELIXROOT. Em 2017 a empresa havia detectado uma campanha similar que tinha como alvo usuários na Ucrânia.
A campanha detectada em 2017 envolvia documentos maliciosos supostamente de bancos ucranianos contendo macros que faziam o download do backdoor.
Falhas no Office são usadas para espalhar o backdoor FELIXROOT
Ao contrário da campanha maliciosa de 2017, os documentos desta nova campanha detectada pela FireEye supostamente incluem informações sobre um seminário de proteção ambiental e exploram as vulnerabilidades CVE-2017-0199 e CVE-2017-11882 para instalar e executar o backdoor FELIXROOT no computador da vítima.
Visão geral do processo:
O backdoor é distribuído por documentos em russo com o nome “Seminar.rtf”. A vulnerabilidade CVE-2017-0199 é explorada primeiro para fazer o download do segundo estágio do ataque a partir do endereço 193.23.181.151. Este segundo estágio por sua vez explora a vulnerabilidade CVE-2017-11882 para instalar e executar o backdoor FELIXROOT:
As duas falhas no Office foram corrigidas ainda em 2017 pela Microsoft e por isso é recomendável manter o Windows, o Office e outros programas sempre atualizados.
Os usuários também devem evitar abrir anexos providos de fontes desconhecidas.
O post com o anúncio da FireEye traz mais detalhes técnicos sobre esta nova campanha maliciosa. Confira aqui.
O post Falhas no Office são usadas para espalhar o backdoor FELIXROOT apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br