Pesquisadores de segurança da FireEye alertaram que hackers estão explorando três falhas no Microsoft Office para espalhar o malware Zyklon.
Os ataques têm como alvo empresas de telecomunicações, serviços financeiros e seguradoras.
Hackers exploram três falhas no Office para espalhar o malware Zyklon
Os pesquisadores afirmam que os criminosos estão tentando coletar senhas e informações relacionadas a carteiras de criptomoedas enquanto também tentam transformar os alvos em PCs-zumbis que seriam usados em ataques de negação de serviço.
O ataque começa com o envio de mensagens de email não solicitadas (spam) que trazem arquivos compactados no formato .zip contendo arquivos maliciosos no formato .doc que visam explorar uma de três vulnerabilidades do Microsoft Office divulgadas publicamente.
A primeira vulnerabilidade é a CVE-2017-8759, que foi corrigida pela Microsoft em outubro passado e afeta o .NET Framework. De acordo com a Microsoft, alvos que abrem um documento malicioso que exploram esta vulnerabilidade permitem que hackers instalem programas, manipulem dados e criem novas contas de usuário com privilégios administrativos.
No contexto do ataque descrito pela FireEye, o documento malicioso traz um objeto OLE incorporado que inicia o download de um documento malicioso adicional a partir de uma URL.
A segunda vulnerabilidade, CVE-2017-11882, foi corrigida pela Microsoft em novembro passado e está presente em um executável do Office conhecido como Microsoft Equation Editor.
Assim como ocorre com a vulnerabilidade anterior, alvos que abrirem um documento maliciosos iniciarão o download de outro documento contendo um script do PowerShell que fará o download de outros arquivos maliciosos.
A Microsoft não considera a terceira falha, Dynamic Data Exchange (DDE), uma vulnerabilidade. Ela insiste que é uma funcionalidade do produto.
DDE é um protocolo que estabelece como aplicativos enviam mensagens e compartilham dados através da memória compartilhada. O problema é que hackers descobriram como explorar isso usando macros para executar droppers, exploits e malwares.
Os pesquisadores da FireEye dizem que nas três técnicas, o mesmo domínio é usado para download de um outro script do PowerShell que por sua vez faz o download do malware Zyklon:
O Zyklon é um backdoor capaz de realizar tarefas como captura de dados digitados, coleta de senhas, download e execução de plugins adicionais, condução de ataques de negação de serviço, atualização automática e remoção automática.
Entre os plugins disponíveis para ele estão um minerador de criptomoedas e um recuperador de senhas armazenadas em navegadores e clientes de email.
No caso do ataque descrito pela FireEye, o malware Zyklon também pode mascarar sua comunicação com o servidor de comando e controle dos hackers.
A empresa afirma que este tipo de ataque é um alerta para que usuários e empresas mantenham seus softwares e soluções de segurança sempre atualizados.
Artigo original:
www.baboo.com.br