Los investigadores de seguridad han descubierto nuevos métodos de ataque que los actores de amenazas están utilizando para aprovechar una vulnerabilidad de día cero denominada "Follina" en el software de Microsoft Office.
Los investigadores de la unidad Symantec de Broadcom dijeron que los actores de amenazas se han aprovechado de Follina para implementar el troyano de acceso remoto AsyncRAT, que contenía una firma digital válida.
También han visto a los atacantes desplegar un ladrón de información como carga útil.
Mientras tanto, los investigadores de Sophos descubrieron un nuevo método de ataque, que comienza con un malspam de "inyección de hilo de mensaje" donde se intercala una respuesta en una discusión de correo electrónico existente.
Microsoft ofrece solución a ataque contra vulnerabilidad
Luego se le pide al destinatario que abra un archivo adjunto HTML, lo que conduce a la descarga de un archivo zip.
Los incidentes marcan los últimos intentos de aprovechar la vulnerabilidad, divulgados públicamente el 27 de mayo; sin embargo, los investigadores dicen que Microsoft fue informado sobre la vulnerabilidad al menos desde abril.
La vulnerabilidad de Follina permite que un atacante remoto no autenticado obtenga el control de un sistema al explotar los documentos descargados de Microsoft Office, particularmente en Word.
Los investigadores comenzaron a ver la actividad de AsyncRAT alrededor del 2 de junio, solo unos días después de que Microsoft publicara la solución el 30 de mayo, según Dick O'Brien, editor principal del equipo de inteligencia de amenazas de Symantec.
“Con respecto a cuán grande es esta amenaza, es muy grave a menos que tome medidas para mitigar el riesgo”, dijo O’Brien por correo electrónico.
Cuando AsyncRAT se ejecuta en un sistema, realiza comprobaciones antianálisis, según los investigadores de Symantec.
Luego recopila información del sistema infectado, incluida la información del sistema operativo, el nombre de usuario, la identificación del hardware y la ruta ejecutada. Toda esta información se envía a un servidor de mando y control.
La solución sugerida por Microsoft evitará este ataque, dijo O'Brien.
En el ataque descubierto por los investigadores de Sophos, el archivo .zip contiene un archivo adicional, un archivo zip con el sufijo .img. Si se descomprime el archivo .img, se revelan tres archivos: una DLL de Windows, un archivo .docx de Follina malicioso y un acceso directo de Windows.
“Este es un actor de amenazas existente que despliega documentos maliciosos de Follina en lugar de otras formas de documentos armados en una campaña de malware de rutina entregada por spam”, dijo por correo electrónico Andrew Brandt, investigador principal de Sophos.
"Estos solo se ejecutarán en máquinas donde no se hayan implementado las mitigaciones recomendadas por Microsoft".
Brandt dijo que las mitigaciones sugeridas por Microsoft son efectivas para detener el ataque, pero advirtió que la compañía deberá proporcionar un parche de seguridad en última instancia, porque las mitigaciones desactivan temporalmente lo que se supone que es un recurso de rutina que se encuentra dentro de Windows para solucionar problemas comunes.
“Dejar las mitigaciones existentes en su lugar evitará la infección, pero también evitará el uso de estas herramientas de solución de problemas”, dijo Brandt. “En algún momento, Microsoft tendrá que corregir el método de explotación de Follina para que la gente pueda restaurar la herramienta de solución de problemas.
En las noticias seguiremos las noticias más recientes de Microsoft como que documentos de Word están en la mira de otra peligrosa cepa de malware.
Síguenos en Facebook y entérate de las noticias trend de la semana
No hay comentarios.:
Publicar un comentario