Check Point descubre nuevas vulnerabilidades en Microsoft Office
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder especializado en ciberseguridad a nivel mundial, revela los detalles de una vulnerabilidad en Microsoft Office 2007, 2010, 2013 y 2016. El equipo de Check Point de investigación de amenazas descubrió el fallo hace tiempo y, aunque se lanzó un parche poco después, se ha detectado recientemente un uso de esta vulnerabilidad para propagar malware de robo de datos como AgentTesla y Loki.
Las capacidades del malware incluyen el robo de credenciales de inicio de sesión del usuario a través de Google Chrome, Mozilla Firefox, Microsoft Outlook y otros, con capturas de pantalla, grabación de webcams e instalación de malware adicional en los equipos infectados.
Sin embargo, debido a la naturaleza de este nuevo malware, que utiliza técnicas de ofuscación de código altamente evasivas, la mayoría de los antivirus no lo han detectado hasta el momento. Porque, aunque pensemos que los formatos de documentos de Word modernos son más seguros que los archivos RTF o DOC, en esta quinta generación de ataques, los ciberdelincuentes buscan ir un paso por delante y adaptar sus técnicas para sortear las barreras tradicionales.
¿Cómo se produce la infección?
El ataque comienza cuando un usuario abre un fichero RTF (Rich Text Format) malicioso utilizando Microsoft Word. Poco después, Word lanza un proceso (denominado svchost) para abrir el Editor de Ecuaciones de Microsoft (una aplicación auxiliar utilizada para crear ecuaciones matemáticas incrustadas en los documentos de Word). En circunstancias normales, este debería ser el final del proceso, sin embargo, en el caso de AgentTesla, la aplicación Editor de Ecuaciones continúa de forma automática, y muy sospechosa, lanzando sus propios ejecutables.
El ejecutable que lanza, llamado «scvhost.exe», es sorprendentemente similar en nombre al proceso que lanzó el propio editor de ecuaciones. Es en este punto, cuando se inicia el segundo proceso, se establece una conexión con el servidor de Comando y Control (C&C) del ciberatacante y se envía el malware para infectar el ordenador de la víctima.
De la investigación teórica a la protección práctica
Utilizando una combinación muy compleja de protecciones avanzadas contra amenazas, múltiples capas de seguridad avanzada y métodos automatizados de ingeniería inversa, el motor de Threat Emulation que subyace en el núcleo de SandBlast Zero-Day Protection es capaz de detectar este nuevo malware antes de que tenga la oportunidad de desplegar el código evasivo e infectar la red o el endpoint. Esto demuestra la importancia de la investigación y que las empresas necesitan algo más que soluciones tradicionales de sandbox para proteger sus redes contra los ataques de actuales.
Para protegerse contra este nuevo malware y otros desconocidos, se recomienda a los usuarios que actualicen con frecuencia sus sistemas y el software que utilizan.
