2018-11-20
A equipa de investigação da Check Point encontrou uma nova vulnerabilidade, a qual, apesar de ter sido corrigida de imediato, tem vindo a ser explorada para disseminar malware desde abril de 2017
A Check Point revelou os detalhes de uma vulnerabilidade no Microsoft Office 2007, 2010, 2013 e 2016. A Check Point Research encontrou esta falha em Abril de 2017 e, apesar de ter sido feita a correção mal imediatamente após a deteção, a vulnerabilidade tem sido utilizada para divulgar malware de roubo de informação, como o AgentTesla e Loki. As capacidades deste malware incluem o roubo dos dados do utilizador para iniciar sessão no Google Chrome, Mozilla Firefox, Microsoft Outlook e outros, fazer capturas de ecrã e gravações por câmaras web e ainda permite que o atacante instale mais malware nos dispositivos infetados. No entanto, devido à natureza deste novo malware, o qual utiliza técnicas de ofuscação altamente evasivas, a maior parte dos antivírus não conseguiram detetá-lo até agora. Embora se acredite que os novos formatos de documentos Word são mais seguros do que os ficheiros RTF ou DOC, nesta quinta geração de ciberataques os cibercriminosos estão à procura de estar um passo à frente e assim adaptar as técnicas para evitar as barreiras tradicionais.
Como é que acontece esta infeção?O ataque inicia quando um utilizador abre um ficheiro RTF (Rich Text Format) malicioso com o Microsoft Word. Logo a seguir, o Word lança um processo, denominado svchost, para abrir o editor de equações da Microsoft, uma aplicação auxiliar criada para realizar equações de matemática nos documentos Word. Normalmente este é todo o processo, no entanto, no caso do AgentTesla, a aplicação de editor de equações passa para um próximo passo onde continua a lançar, de forma suspeita, os seus próprios executáveis. O executável chama-se "scvhost.exe”. A partir daqui, quando se inicia um segundo processo é estabelecida uma ligação ao servidor de Comando e Controlo (C&C) do ciberatacante e o malware é enviado para infetar o computador da vítima.
Da investigação teórica à proteção práticaAo utilizar uma combinação complexa de proteções avançadas contra ameaças, múltiplas camadas de segurança avançadas e métodos automatizados de engenharia inversa, o Threat Emulation que é o núcleo do SandBlast Zero-Day Protection é capaz de detetar este malware antes que este tenha oportunidade de lançar um código evasivo e infetar o red ou o endpoint. Isto demonstra a importância da investigação e que as empresas precisam mais do que soluções tradicionais para proteger as suas redes contra os ataques de hoje em dia. Para se protegerem contra este novo malware e contra outros desconhecidos, a Check Point recomenda que os utilizadores atualizem os sistemas e software que utilizam com frequência. |