Malware distribuye troyano de datos Trojan RAT

Una nueva campaña de malware descubierta por Cisco Talos Intelligence Group usa documentos RTF para explotar la vulnerabilidad de corrupción de memoria de Microsoft Office CVE-2017-11882 para distribuir el malware RAT del ladrón de datos Agent Tesla.

Para ser más exactos, los adversarios detrás de esta campaña de malware están explotando el problema de seguridad para "ejecutar código arbitrario en el contexto del usuario actual al no manejar adecuadamente los objetos en la memoria", como se detalla en la base de datos de Vulnerabilidades y Exposiciones comunes.

Los malos actores explotan Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1 y Microsoft Office 2016 utilizando documentos RTF creados con fines malintencionados.

RTF es un formato de documento propietario de Microsoft diseñado para ser multiplataforma que, aunque no es compatible con macros o scripts, permite a los atacantes utilizar objetos de Vinculación e incrustación de objetos (OLE) u objetos de suscriptor de Macintosh Edition Manager, según la plataforma a la que se dirigen. Carga de malware en la máquina de la víctima.

Esta campaña es una de muchas otras que utilizan la técnica de explotación CVE-2017-11882 para difundir una serie de muestras de malware diferentes utilizando la misma infraestructura, siendo el Agente Tesla, Loki y Gamarue los más notables.

Los adversarios que controlan la campaña de propagación de malware de Agent Tesla utilizan una cadena de exploits ampliamente conocida, vista anteriormente en la campaña de malware FormBook que explotó la vulnerabilidad CVE-2017-0199 pero se modificó de tal manera que ninguna solución antivirus pueda detectarla.

La campaña de malware de Agent Tesla explota la vulnerabilidad CVE-2017-11882 utilizando un documento RTF creado con fines malintencionados con cero detecciones en VirusTotal

Según el equipo de investigación de Cisco Talos , el troyano de acceso remoto Agent Tesla puede recopilar y extraer información de inicio de sesión de múltiples aplicaciones (por ejemplo, Google Chrome, Mozilla Firefox , Microsoft Outlook), así como grabar videos, capturar capturas de pantalla e instalar otras herramientas maliciosas. enviado por el servidor de comando y control (C&C).

Otras aplicaciones que Agent Tesla está preconfigurada para robar contraseñas son Internet Explorer , Yandex, Opera, Thunderbird , IncrediMail, Eudora, Filezilla , WinScp , FTP Navigator, Paltalk, Internet Download Manager, JDownloader , Apple keychain, SeaMonkey, Comodo Dragon, Flock, y DynDNS.

Los actores detrás de esta campaña de malware hacen uso de exploits de diseño personalizado y cargas útiles confusas envueltas en documentos RTF, elegidos por su complejidad como un nivel adicional de camuflaje contra soluciones antimalware.

"De cualquier manera, esto demuestra que el actor o sus herramientas tienen la capacidad de modificar el código del ensamblador de tal manera que los bytes del código de operación resultantes sean completamente diferentes, pero aún así explotan la misma vulnerabilidad", concluye el post de Cisco Talos. "Esta es una técnica que muy bien podría usarse para implementar otro malware de forma sigilosa en el futuro".

Fecha actualización el 2021-10-16. Fecha publicación el 2018-10-16. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: softpedia
malware