Se están explotando vulnerabilidades de Office para extender el malware Zyklon

Investigadores de FireEye han detectado una nueva campaña de spam que está explotando tres vulnerabilidades de Microsoft Office en empresas de telecomunicaciones, seguros y servicios financieros.

También puedes leer... Todo lo que necesitas saber sobre Spectre y Meltdown Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

Los atacantes, que están utilizando el malware Zyklon, están intentando recolectar contraseñas y datos de monederos de criptomonedas junto con el reclutamiento de sistemas para futuros posibles ataques de denegación de servicio distribuido, DDoS.

Zyklon resurge así después de casi dos años de su aparición. Se trata de una botnet HTTP que se vio por primera vez a primeros de 2016 y que se comunica con los servidores de comando y control (C&C) a través de redes anónimas como Tor. El malware permite a los ciberdelicuentes robar de manera remota keylogs o datos sensibles como las contraseñas almacenadas en navegadores web y correos electrónicos de los clientes.

Además, Zyklon es capaz de ejecutar plugins adicionales, como utilizar los sistemas infectados para lanzar ataques de DDoS o la minería de criptomonedas.

Según los investigadores de FireEye los ciberdelincuentes están explotando tres vulnerabilidades en Microsoft office: la CVE-2017-8759, que es un fallo de ejecución remota de código que se produce cuando Microsoft .NET Framework procesa datos no confiables. Microsoft ya lanzó un parche de seguridad para este error en las actualizaciones de septiembre; la vulnerabilidad CVE-2017-11882 es un fallo que corrupción de memoria que tiene 17 años que permite que un atacante pueda ejecutar código malicioso en los sistemas de destino sin interacción del usuario después de abrir un documento malicioso; en cuanto al último fallo, DDE Exploit, o Dynamic Data Exchange Protocol, se trata de una técnica que permite a los atacantes aprovechar una característica incorporada de Microsoft Office, llamada DDE, para realizar la ejecución de código en el dispositivo de destino sin requerir que se habiliten las macros o que se dañe la memoria.