Kit de creacion de exploits
Un kit de creación de exploits de documentos recientemente descubierto de Microsoft Office, denominado ThreadKit, se ha utilizado para propagar una variedad de malware, incluidos RAT y troyanos bancarios.
Los expertos en seguridad de Proofpoint descubrieron recientemente un kit de creación de exploits de documentos de Microsoft Office denominado ThreadKit que se ha utilizado para difundir una variedad de malware, incluidos los troyanos bancarios y las RAT (es decir, Trickbot, Chthonic, FormBook y Loki Bot).
El kit de explotación se descubrió por primera vez en octubre de 2017, pero según los expertos, los delincuentes lo están utilizando al menos desde junio de 2017.
El kit de construcción de ThreadKit muestra similitudes con el intruso de Microsoft Word (MWI), que inicialmente se anunciaba en una publicación del foro como un generador de documentos señuelo armados.
"En octubre de 2017, los investigadores de Proofpoint descubrieron un nuevo kit de creación de exploits de documentos de Microsoft Office que presentaba una variedad de exploits recientes, así como un mecanismo para informar estadísticas de infección", dice el análisis publicado por ProofPoint . "Si bien los documentos producidos por este kit exhiben algunas similitudes menores con Microsoft Word Intruder (MWI), determinamos que probablemente fueron producidos por un nuevo kit de creación de exploits, que comenzamos a rastrear como ThreadKit".
Justo después de su aparición, se han observado documentos creados con el kit de construcción ThreadKit en varias campañas.
Los documentos señuelo utilizados en campañas pasadas realizaron un check-in inicial al servidor de comando y control (C & C), una táctica también utilizada por MWI.
Los documentos desencadenaban la vulnerabilidad CVE-2017-0199 en Office para descargar y ejecutar un archivo HTA que luego descargaba el señuelo y un script VB malicioso para extraer y ejecutar el ejecutable incrustado.
El último paso de la infección es la ejecución del Smoke Loader, una pequeña aplicación utilizada para descargar otros códigos maliciosos, en estos ataques específicos, un malware bancario.
A partir de octubre de 2017, los investigadores observaron que el ThreadKit desencadenaba la vulnerabilidad CVE 2017-8759.
"En octubre de 2017, comenzamos a observar las campañas correspondientes utilizando CVE-2017-8759. Esta versión de ThreadKit empleó una estadística de infección similar, el check-in inicial de C & C y HTA para ejecutar el ejecutable incrustado. Se realizaron otros cambios en la forma en que funcionan los documentos de explotación, además de integrar las nuevas vulnerabilidades ", continúa el análisis.
Desde noviembre, ThreadKit integró el código para la explotación de CVE 2017-11882, una falla de 17 años en MS Office expulsada por atacantes remotos para instalar un malware sin interacción del usuario.
En las últimas semanas, el kit de exploits incluyó exploits nuevos dirigidos a vulnerabilidades como CVE-2018-4878 Adobe Flash día cero y varias vulnerabilidades de Microsoft Office (es decir, CVE-2018-0802 y CVE-2017-8570 ).
Los investigadores de Proofpoint observaron numerosas campañas con archivos adjuntos de Office generados por ThreadKit que almacenaban exploits que probablemente se copiaron del código PoC disponible en el repositorio GitHub de un investigador .
"ThreadKit es un kit de creación de exploits de documentos relativamente nuevo y popular que se ha utilizado en la naturaleza desde al menos junio de 2017, por una variedad de actores que llevan a cabo campañas de crimeware dirigidas y de amplia base. Este nuevo kit de creación de exploit de documentos hace que el uso de los últimos exploits de Microsoft Office sea accesible incluso para actores malintencionados poco calificados ", concluyó Proofpoint.