Neste mundo online em constante crescimento e mudança, as ameaças se tornaram tão comuns e difíceis de detectar que permanecer seguro é apenas uma questão de estar um passo à frente dos invasores.
Novas descobertas de pesquisas publicadas pela empresa de segurança cibernética Sophos mostram que terceiros invasores foram capazes de tirar proveito de um exploit experimental do Office disponível publicamente e usá-lo para entregar malware Formbook.
Os invasores supostamente conseguiram criar uma exploração capaz de contornar uma vulnerabilidade crítica de execução remota de código no Microsoft Office, que foi corrigida no início deste ano.
Os invasores contornam um patch crítico do Microsoft Office com um exploit
Você não precisa voltar muito tempo para entender como tudo começou. Em setembro, a Microsoft lançou um patch para impedir que invasores lancem código malicioso incorporado em um documento do Word.
Esta vulnerabilidade carregou automaticamente um arquivo Microsoft Cabinet (CAB) contendo um arquivo executável malicioso.
Isso foi conseguido retrabalhando o exploit original e colocando o documento malicioso do Word em um arquivo RAR especialmente criado, que fornecia uma forma de exploit capaz de contornar com sucesso o patch original.
Além disso, esta última exploração foi entregue às vítimas por meio de spam por aproximadamente 36 horas antes de desaparecer completamente.
Os pesquisadores de segurança da Sophos acreditam que a vida útil limitada do exploit pode significar que foi um experimento experimental que pode ser usado em ataques futuros.
As versões do ataque anteriores à correção usavam código malicioso empacotado em um arquivo Microsoft Cabinet. Quando o patch da Microsoft fechou essa lacuna, os invasores descobriram um conceito que mostrou como o malware pode ser combinado em outro formato de arquivo compactado, um arquivo RAR. Anteriormente, os arquivos RAR eram usados para distribuir código malicioso, mas o processo usado aqui era incomumente complexo. Provavelmente, isso foi possível apenas porque o escopo do patch foi definido de forma muito restrita e porque o programa WinRAR, que os usuários precisam para abrir o RAR, é muito tolerante a falhas e não parece se importar se o arquivo está no formato errado, por exemplo, devido a falsificação …
Também foi descoberto que os invasores criaram um arquivo RAR anormal no qual um script do PowerShell adicionou um documento do Word malicioso armazenado dentro do arquivo.
Para facilitar a disseminação desse arquivo RAR perigoso e de seu conteúdo malicioso, os invasores criaram e distribuíram mensagens de spam nas quais as vítimas eram solicitadas a descompactar o arquivo RAR para acessar o documento do Word.
Portanto, é melhor você ter isso em mente ao lidar com este software e se algo parecer suspeito, mesmo remotamente.
A segurança deve ser a prioridade número um para todos nós quando navegamos na Internet. Ações simples que podem parecer inofensivas à primeira vista podem desencadear uma cadeia de eventos e consequências graves.
Você também foi vítima desses ataques de malware? Compartilhe sua experiência conosco na seção de comentários abaixo.
Deixe um comentário