Artigos

Hackers Exploit Recently Disclosed Microsoft Office Bug to Backdoor PCs

Por 30 de novembro de 2017 Sem comentários

**INFORMAÇÃO IMPORTANTE PARA A ÁREA DE SI/TI**

(Pls, repasse a informação para suas equipes)

 

Hackers Exploit Recently Disclosed Microsoft Office Bug to Backdoor PCs

Uma vulnerabilidade grave de 17 anos recentemente divulgada no Microsoft Office que permite que os hackers instalem malware em computadores direcionados sem a interação do usuário agora está sendo explorada para distribuir um malware de backdoor.

Primeiramente descoberta por pesquisadores da empresa de segurança Fortinet, o malware foi apelidado de cobalto porque ele usa um componente de uma poderosa e legítima ferramenta de teste de penetração, chamada Cobalt Strike.

Cobalt Strike é uma forma de software desenvolvido para Red Team Operations and Adversary Simulations para acessar canais secretos de um sistema.

A vulnerabilidade (CVE-2017-11882) que o malware Cobalt utiliza para oferecer o backdoor é um problema de corrupção de memória que permite que invasores remotos não autenticados executem código malicioso no sistema visado quando aberto um arquivo mal-intencionado e potencialmente assumir o controle total sobre ele.

“Esta vulnerabilidade afeta todas as versões do sistema operacional Microsoft Office e Windows, embora a Microsoft já tenha lançado uma atualização de patch para resolver o problema.”

Uma vez que os cibercriminosos são bastante rápidos em aproveitar as vulnerabilidades recentemente divulgadas, os atores da ameaça começaram a entregar o malware Cobalt usando a exploração CVE-2017-11882 via spam apenas alguns dias após sua divulgação.

Segundo os pesquisadores do Fortinet, o malware Cobalt é entregue através de e-mails de spam, que se dissimulavam como uma notificação da Visa em relação às mudanças de regras na Rússia, com um anexo que inclui um documento RTF mal-intencionado, como mostrado.

O e-mail também contém um arquivo protegido por senha com credenciais de login fornecidas no e-mail para desbloqueá-lo para enganar as vítimas em acreditar que o email veio do serviço financeiro legítimo.

“ISTO É [TAMBÉM] PARA EVITAR SISTEMAS DE AUTO-ANÁLISE DE EXTRAIR OS ARQUIVOS MALICIOSOS PARA SANDBOX E DETECÇÃO”, ESCREVERAM OS PESQUISADORES DO FORTINET JASPER MANUAL E JOIE SALVIO.

“UMA VEZ QUE UMA CÓPIA DO DOCUMENTO MALICIOSO ESTÁ EM ABERTO … ENTÃO É POSSÍVEL QUE ISSO SEJA APENAS PARA ENGANAR O USUÁRIO PARA PENSAR QUE OS VALORES MOBILIÁRIOS ESTÃO NO LUGAR, O QUE SERIA ALGO ESPERADO EM UM E-MAIL DE UM SERVIÇO FINANCEIRO AMPLAMENTE UTILIZADO”.

 Uma vez que o documento é aberto, o usuário exibiu um documento simples com as palavras “Ativar edição”. No entanto, um script do PowerShell executa silenciosamente em segundo plano, o que, eventualmente, baixa um cliente Cobalt Strike para assumir o controle da máquina da vítima.

Com o controle do sistema da vítima, os hackers podem “iniciar procedimentos de movimento lateral na rede executando uma ampla gama de comandos”, disseram os pesquisadores.

De acordo com os pesquisadores, os cibercriminosos estão sempre em busca de tais vulnerabilidades para explorá-los para suas campanhas de malware e, devido a ignorar as atualizações de software, um número significativo de usuários lá fora deixaram seus sistemas desatualizados, tornando-os vulneráveis ​​a tais ataques.

A melhor maneira de proteger seu computador contra o ataque de malware Cobalt é baixar o patch para a vulnerabilidade CVE-2017-11882 e atualizar seus sistemas imediatamente.

 Fonte:https://thehackernews.com 

Quer falar com algum dos nossos especialista em cybersecurity? Clique aqui

Deixe uma resposta