Una campaña de ataques emplea archivos RTF para distribuir malware

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

Una nueva campaña de ataques utiliza archivos de formato de texto enriquecido (RTF) para distribuir el troyano Agente Tesla, junto con otro malware. Según los investigadores de Cisco Talos, la campaña comienza con un archivo RTF muy ofuscado que en el momento del análisis evitó la detección de 56 programas antivirus.

El archivo RTF utiliza Microsoft Equation Editor para explotar CVE-2017-11882, una vulnerabilidad de corrupción de memoria de Microsoft Office que permite a los atacantes ejecutar código arbitrario. Esta etapa en la cadena de ataque emplea un script para descargar la carga útil final.

En algunos casos, la carga útil toma la forma del malware Loki. Otras variantes de la campaña ofrecen 'xyz.123', que en realidad es un troyano de acceso remoto (RAT) llamado Agente Tesla. Esta amenaza es capaz de robar contraseñas de 25 aplicaciones comunes, incluidos Chrome, Firefox e Internet Explorer, y comportarse como un rootkit al registrar y robar contenido del portapapeles.

No es la primera vez que una campaña de ataques ha explotado la vulnerabilidad de Microsoft Office para propagar malware. A principios de 2018, Cisco Talos observó una operación de ataques que aprovechaba documentos PDF y Word maliciosos para explotar esta misma vulnerabilidad, junto con CVE-2017-0199, una vulnerabilidad de Microsoft Office que permite a los atacantes ejecutar código arbitrario usando un documento elaborado.