Una sofisticada campaña de phishing que aprovecha una vulnerabilidad de Microsoft Office de casi ocho años para distribuir la información peligrosa de XLOGER STEEDERS.
El ataque aprovecha CVE-2017-11882, una vulnerabilidad de corrupción de memoria en el componente del editor de ecuaciones de Microsoft, lo que indica que los cibercriminales continúan despertando fallas de seguridad antiguas.
Las campañas de phishing explotan vulnerabilidades en el editor de ecuaciones (CVE-2017-11882)
El atacante está enviando un correo electrónico de phishing disfrazado de compra o confirmación de pedidos, lo que le pide al destinatario que abra el archivo DOCX adjunto para ver los detalles de la transacción.
La documentación inofensiva en realidad contiene archivos RTF maliciosos que desencadenan vulnerabilidades en el editor de ecuaciones.
“Estos correos electrónicos lo engañan para abrir los archivos adjuntos DOCX que contienen secretamente archivos RTF maliciosos que explotan vulnerabilidades conocidas (CVE-2017-11882) en el editor de ecuaciones de Microsoft”, explicó los investigadores de ASEC.
Correo electrónico de phishing
La cadena de ataque se lanza cuando la víctima abre el archivo DOCX. Esto crea una conexión externa y ejecuta el documento RTF incorporado.
RTF luego crea un archivo “Client.vbe” en una carpeta temporal y explota una vulnerabilidad en el editor de expresiones para ejecutar el comando.
La campaña utiliza HorusProtector, una herramienta comercial de protección y distribución de malware que ha evolucionado desde su primera detección en 2024.
Imágenes de HorusProtector Builder
A diferencia de las variantes anteriores que descargaron cargas útiles del servidor de comando y control, la versión actual incrusta toda la carga de malware directamente en el archivo VBE, aumentando el tamaño de aproximadamente 10kb a 1.34mb.
El Script de Visual Basic es utilizado por el Servicio de Distribución del Protector Horus para distribuir secretamente malware.
Este script finalmente inserta la carga útil del libro de forma maliciosa directamente en la memoria utilizando PowerShell como un enfoque de tierra y disfrazado de un proceso nativo genuino.
Archivos RTF integrados en documentos DOCX
XLOGER: robo de información formal
La carga útil final es un robo de información sofisticada que evolucionó de la familia de malware Formbook.
XLoader está disponible en foros subterráneos como un malware como servicio y se dirige a los sistemas Windows y MacOS.
Una vez instalado, Xloader es:
Grabe pulsaciones de teclas y capturar capturas de pantalla. Robar datos de portapapeles que contienen transacciones de criptomonedas. Extraiga credenciales de navegadores web, clientes de correo electrónico y aplicaciones de mensajería. Información de la billetera de criptomonedas de cosecha. Descargue cargas útiles de malware adicionales. Los datos de malware finalmente se ejecutaron
A pesar del parche en 2017, la vulnerabilidad del editor de ecuaciones sigue siendo válida ya que muchas organizaciones no pueden aplicar actualizaciones de manera consistente. Los expertos en seguridad recomiendan:
Asegúrese de que todas las instalaciones de Microsoft Office estén completamente parcheadas. Implementación de una solución de filtrado de correo electrónico que puede detectar archivos adjuntos maliciosos. Si no es necesario, deshabilite el componente del editor de ecuaciones. Los usuarios de trenes para conocer los archivos adjuntos de correo electrónico inesperados.
“El hecho de que Malwaa todavía esté distribuido, lo que explota las vulnerabilidades más allá, significa que todavía hay muchos usuarios en un entorno vulnerable”, advirtieron los investigadores de ASEC.
La campaña destaca que los ciberdelincuentes continúan aprovechando las viejas vulnerabilidades de los ataques, y destaca la importancia clave de mantener los últimos parches de seguridad en los componentes de software heredado también.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
