Malware enviado por Word não usa macro para infecção e passa pelos sistemas de proteções tradicionais

Sistemas tradicionais não detectam a ameaça

Malware enviado por Word não usa macro para infecção e não é detectado pelos sistemas de proteções tradicionais, dizem pesquisadores.

Normalmente, os ataques via emails incluem anexos maliciosos do Microsoft Office e requerem uma criativa engenharia social para enganar os usuários e levá-los à habilitar as macros que escondem os códigos maliciosos. Mas os pesquisadores da Spyderlabs da Trustwave disseram que identificaram uma nova campanha de e-mail mal-intencionado que usa anexos do Office sem macros.

Os ataques deste tipo não geram o aviso padrão da Microsoft relativos aos ataques de macros, de acordo com pesquisas publicadas pela Trustwave.

Ao abrir anexos, não há avisos ou pop-ups alertando vítimas, disseram pesquisadores

O ataque usa anexos maliciosos do Word que ativam um processo de infecção em quatro estágios que aproveita a vulnerabilidade do Editor de Equações do Office (CVE-2017-11882), corrigido no ano passado pela Microsoft. O código malicioso foi projetado para roubar credenciais do e-mail, FTP e navegadores da vítima.

Pesquisadores da Trustwave disseram que a cadeia de infecção por malware usa uma combinação de técnicas que começam com um anexo formatado .DOCX. O spam é originário da botnet Necurs. As linhas de assunto do email se enquadram em quatro categorias relacionadas financeiramente: “DEMONSTRAÇÃO DE CONTA TNT“, “Solicitação de cotação“, “Notificação de transferência Telex” e “CÓPIA SWIFT PARA PAGAMENTO DE BALANÇO“. Todos os e-mails examinados pelos pesquisadores da SpiderLabs tiveram o anexo chamado “recibo.docx“.

 

Os pesquisadores observam que o número de estágios e vetores usados ​​nesses ataques é incomum. “Outro ponto notável é que o ataque usa tipos de arquivo (DOCX, RTF e HTA), que geralmente não são bloqueados por e-mail ou gateways de rede ao contrário dos idiomas de script mais óbvios como VBS, JScript ou FSM“, observaram os pesquisadores. “No final, tenha cuidado com documentos do Office desconhecidos ou inesperados e mantenha seus patches atualizados“.

 

Veja também:

 

fonte: Spyderlabs da Trustwave

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Restaurantes da Applebee's afetados por malware de cartão no POS

Deixe sua opinião!