Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

Una campaña de ataques emplea archivos RTF para distribuir malware

  • Vulnerabilidades

ciberataque vulnerabilidad seguridad

La campaña comienza con un archivo RTF muy ofuscado que, en el momento del análisis, evadió la detección de 56 programas antivirus. En algunos casos, la carga útil toma la forma de malware Loki, y en otros la del RAT llamado Agente Tesla.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Una nueva campaña de ataques utiliza archivos de formato de texto enriquecido (RTF) para distribuir el troyano Agente Tesla, junto con otro malware. Según los investigadores de Cisco Talos, la campaña comienza con un archivo RTF muy ofuscado que en el momento del análisis evitó la detección de 56 programas antivirus.

El archivo RTF utiliza Microsoft Equation Editor para explotar CVE-2017-11882, una vulnerabilidad de corrupción de memoria de Microsoft Office que permite a los atacantes ejecutar código arbitrario. Esta etapa en la cadena de ataque emplea un script para descargar la carga útil final.

En algunos casos, la carga útil toma la forma del malware Loki. Otras variantes de la campaña ofrecen 'xyz.123', que en realidad es un troyano de acceso remoto (RAT) llamado Agente Tesla. Esta amenaza es capaz de robar contraseñas de 25 aplicaciones comunes, incluidos Chrome, Firefox e Internet Explorer, y comportarse como un rootkit al registrar y robar contenido del portapapeles.

No es la primera vez que una campaña de ataques ha explotado la vulnerabilidad de Microsoft Office para propagar malware. A principios de 2018, Cisco Talos observó una operación de ataques que aprovechaba documentos PDF y Word maliciosos para explotar esta misma vulnerabilidad, junto con CVE-2017-0199, una vulnerabilidad de Microsoft Office que permite a los atacantes ejecutar código arbitrario usando un documento elaborado.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos