Los ciberdelincuentes están utilizando un parche de Microsoft Office para robar los datos de los usuarios

Las amenazas en línea se han vuelto tan comunes que la única forma de protegerse de las campañas maliciosas y las intenciones de los ciberdelincuentes es estar totalmente seguro y protegido.

Sophos, una empresa de ciberseguridad, reveló una nueva investigación, que muestra que los actores de amenazas tomaron y utilizaron una prueba de concepto de Office disponible públicamente para difundir el malware Formbook.

Se dice que los ciberdelincuentes desarrollaron un exploit que podría evitar una grave vulnerabilidad de ejecución remota de código en Microsoft Office que la empresa gigante de la tecnología solucionó a principios de este año.

Los delincuentes evaden un parche crítico de Microsoft Office con un exploit

Para evitar que los piratas informáticos ejecuten código de odio implantado en un documento de Word, Microsoft lanzó un parche en septiembre.

Un archivo Microsoft Cabinet (CAB) que tenga adjunto un ejecutable malicioso se descargará automáticamente debido a esta falla.

Los delincuentes cibernéticos hicieron que esto sucediera alterando el exploit original e insertando el documento de Word rencoroso dentro de un archivo RAR especialmente diseñado que trajo un tipo de exploit capaz de evitar con éxito el parche original.

Además, los atacantes utilizaron correos electrónicos no deseados para propagar este último exploit durante aproximadamente 36 horas antes de que finalmente saliera.

Los investigadores de seguridad de Sophos creen que la duración imperfecta del exploit podría significar que se trataba de una prueba de ejecución que podría emplearse en futuros ataques.

Las versiones previas al parche del ataque involucraban código malicioso empaquetado en un archivo Microsoft Cabinet. Cuando el parche de Microsoft cerró esa laguna, los atacantes descubrieron una prueba de concepto que mostraba cómo se podía agrupar el malware en un formato de archivo comprimido diferente, un archivo RAR. Los archivos RAR se han utilizado antes para distribuir código malicioso, pero el proceso utilizado aquí fue inusualmente complicado. Probablemente tuvo éxito solo porque el mandato del parche se definió de manera muy estricta y porque el programa WinRAR que los usuarios necesitan para abrir el RAR es muy tolerante a fallas y no parece importarle si el archivo tiene un formato incorrecto, por ejemplo, porque ha sido manipulado.

También se descubrió que los atacantes potenciales habían creado un archivo RAR inusual que tenía un script de PowerShell precediendo a un documento de Word malévolo almacenado dentro del archivo.

Los estafadores diseñaron y difundieron correos engañosos que invitaban a los destinatarios a descomprimir el archivo RAR para acceder al documento de Word a fin de ayudar a distribuir este peligroso archivo RAR y su contenido odioso.

Por lo tanto, es mejor que recuerde siempre esto cuando se encuentre con esta aplicación y si algo parece incluso remotamente aprensivo.