Check Point encontra novas vulnerabilidades no Office

Check Point encontra novas vulnerabilidades no Office

A Check Point revela os detalhes de uma vulnerabilidade nos Microsoft Office 2007, 2010, 2013 e 2016. A Check Point Research encontrou esta falha em Abril de 2017 e, apesar de ter sido feita a correção mal foi detetada esta vulnerabilidade, esta tem sido utilizada para divulgar malware de roubo de informação, como o AgentTesla e Loki.




As capacidades deste malware incluem o roubo dos dados do utilizador para iniciar sessão no Google Chrome, Mozilla Firefox, Microsoft Outlook e outros, fazer capturas de ecrã e gravações por câmaras web e ainda permite que o atacante instale mais malware nos dispositivos infetados.

No entanto, por causa da natureza deste novo malware, o qual utiliza técnicas de ofuscação altamente evasivas, a maior parte dos antivírus não conseguiram detetá-lo até agora. Embora se acredite que os novos formatos de documentos Word são mais seguros do que os ficheiros RTF ou DOC, nesta quinta geração de ciberataques os cibercriminosos estão à procura de estar um passo à frente e assim adaptar as técnicas para evitar as barreiras tradicionais.

Como é que acontece esta infeção?

O ataque inicia quando um utilizador abre um ficheiro RTF (Rich Text Format) malicioso com o Microsoft Word. Logo a seguir, o Word lança um processo, denominado svchost, para abrir o editor de equações da Microsoft, uma aplicação auxiliar criada para realizar equações de matemática nos documentos Word. Normalmente este é todo o processo, no entanto, no caso do AgentTesla, a aplicação de editor de equações passa para um próximo passo onde continua a lançar, de forma suspeita, os seus próprios executáveis.

O executável chama-se “scvhost.exe”, o que é surpreendentemente parecido ao nome do processo que iniciou o editor de equações. A partir daqui, quando se inicia um segundo processo é estabelecida uma ligação ao servidor de Comando e Controlo (C&C) do ciberatacante e o malware é enviado para infetar o computador da vítima.

Da investigação teórica à proteção prática da Check Point

Ao utilizar uma combinação complexa de proteções avançadas contra ameaças, múltiplas camadas de segurança avançadas e métodos automatizados de engenharia inversa, o Threat Emulation que é o núcleo do SandBlast Zero-Day Protection é capaz de detetar este malware antes que este tenha oportunidade de lançar um código evasivo e infetar o red ou o endpoint. Isto demonstra a importância da investigação e que as empresas precisam mais do que soluções tradicionais para proteger as suas redes contra os ataques de hoje em dia.

Para se protegerem contra este novo malware e contra outros desconhecidos, a Check Point recomenta que os utilizadores atualizem os sistemas e software que utilizam com frequência.




Artigo anteriorPróximo artigo
Nilton é um entusiasta das novas tendências tecnológicas e do impacto que estas têm nas organizações e no nosso dia a dia.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.