Los ciberdelincuentes están explotando las vulnerabilidades de seguridad en Microsoft Office que se conocen desde hace años para infectar las con malware en ataques que demuestran la importancia de aplicar actualizaciones de ciberseguridad.
Como detallaron los investigadores de seguridad cibernética de Fortinet, los ciberdelincuentes se están aprovechando de las fallas de seguridad sin parchear para entregar SmokeLoader.
Este es una forma de malware que se instala en las máquinas con con la intención de usarlo para entregar malware adicional, incluido Trickbot y varias puertas traseras y troyanos.
programa malicioso.
Ambas vulnerabilidades tienen casi cinco años, pero el hecho de que se utilicen para distribuir SmokeLoader demuestra que siguen siendo eficaces.
El primero es CVE-2017-0199, una vulnerabilidad en Microsoft Office que surgió por primera vez en 2017 y que permite a los atacantes descargar y ejecutar scripts de PowerShell en redes comprometidas, brindándoles la capacidad de obtener acceso adicional a los sistemas.
El segundo es CVE-2017-11882, una vulnerabilidad de desbordamiento de búfer de pila en Microsoft Office que permite la ejecución remota de código.
Los parches de seguridad para ambas vulnerabilidades han estado disponibles desde que se divulgaron públicamente, hace cinco años.
Al igual que muchas otras campañas de malware, los ciberdelincuentes utilizan correos electrónicos de phishing para obligar a las vÃctimas a caer en el ataque.
En este caso, los investigadores detallan cómo el correo electrónico de phishing le pide al destinatario que revise una orden de compra y los tiempos de envÃo para confirmar si son correctos.
El correo electrónico intenta parecer lo más legÃtimo posible, incluida una firma completa con los datos de contacto relacionados.
Para ver lo que supuestamente es una orden de compra, se le pide al usuario que abra un documento de Microsoft Office que tiene 'protecciones'.
Se le pide al usuario que habilite la edición para verlo, y es esto lo que permite que el documento malicioso ejecute el código necesario para explotar las vulnerabilidades, infectando el dispositivo vÃctima con malware.
"Si bien CVE-2017-0199 y CVE-2017-11882 se descubrieron en 2017, todavÃa se explotan activamente en esta y otras campañas de malware", dijo James Slaughter, ingeniero senior de inteligencia de amenazas en Fortinet.
"Esto demuestra que los creadores de malware aún logran sus objetivos al confiar en las vulnerabilidades antiguas, a menudo varios años después de salir a la luz, y confiar en que las soluciones afectadas no se repararán", agregó.
Las vulnerabilidades de seguridad sin parches siguen siendo uno de los vectores de ataque más comunes para los ciberdelincuentes, muchos de los cuales escanearán activamente Internet en busca de sistemas y servidores vulnerables.
Por lo tanto, es vital que las organizaciones apliquen actualizaciones de seguridad lo más rápido posible para evitar ataques de malware.
Los investigadores señalan que SmokeLoader se usa para entregar Trickbot.
Trickbot se usa comúnmente para entregar ransomware y otras amenazas cibernéticas maliciosas que podrÃan ser extremadamente perjudiciales.
La mejor manera de evitar ser vÃctima de SmokeLoader y otras campañas es asegurarse de que se apliquen los parches de seguridad, especialmente porque en este caso, una solución ha estado disponible durante años.
SÃguenos en Facebook y entérate de las noticias trend de la semana
No hay comentarios.:
Publicar un comentario