A Check Point revela os detalhes de uma vulnerabilidade nos Microsoft Office 2007, 2010, 2013 e 2016. A Check Point Research encontrou esta falha em Abril de 2017 e, apesar de ter sido feita a correção mal foi detetada esta vulnerabilidade, esta tem sido utilizada para divulgar malware de roubo de informação, como o AgentTesla e Loki.
As capacidades deste malware incluem o roubo dos dados do utilizador para iniciar sessão no Google Chrome, Mozilla Firefox, Microsoft Outlook e outros, fazer capturas de ecrã e gravações por câmaras web e ainda permite que o atacante instale mais malware nos dispositivos infetados.
No entanto, por causa da natureza deste novo malware, o qual utiliza técnicas de ofuscação altamente evasivas, a maior parte dos antivírus não conseguiram detetá-lo até agora. Embora se acredite que os novos formatos de documentos Word são mais seguros do que os ficheiros RTF ou DOC, nesta quinta geração de ciberataques os cibercriminosos estão à procura de estar um passo à frente e assim adaptar as técnicas para evitar as barreiras tradicionais.
Como é que acontece esta infeção?
O ataque inicia quando um utilizador abre um ficheiro RTF (Rich Text Format) malicioso com o Microsoft Word. Logo a seguir, o Word lança um processo, denominado svchost, para abrir o editor de equações da Microsoft, uma aplicação auxiliar criada para realizar equações de matemática nos documentos Word. Normalmente este é todo o processo, no entanto, no caso do AgentTesla, a aplicação de editor de equações passa para um próximo passo onde continua a lançar, de forma suspeita, os seus próprios executáveis.
O executável chama-se “scvhost.exe”, o que é surpreendentemente parecido ao nome do processo que iniciou o editor de equações. A partir daqui, quando se inicia um segundo processo é estabelecida uma ligação ao servidor de Comando e Controlo (C&C) do ciberatacante e o malware é enviado para infetar o computador da vítima.
Da investigação teórica à proteção prática da Check Point
Ao utilizar uma combinação complexa de proteções avançadas contra ameaças, múltiplas camadas de segurança avançadas e métodos automatizados de engenharia inversa, o Threat Emulation que é o núcleo do SandBlast Zero-Day Protection é capaz de detetar este malware antes que este tenha oportunidade de lançar um código evasivo e infetar o red ou o endpoint. Isto demonstra a importância da investigação e que as empresas precisam mais do que soluções tradicionais para proteger as suas redes contra os ataques de hoje em dia.
Para se protegerem contra este novo malware e contra outros desconhecidos, a Check Point recomenta que os utilizadores atualizem os sistemas e software que utilizam com frequência.
Comentários