Cómo un archivo malicioso de PowerPoint podría comprometer su PC


Los investigadores de seguridad han descubierto una nueva campaña de malware que está aprovechando la misma hazaña, pero por primera vez, escondida detrás de un archivo de presentación de PowerPoint (PPSX) especialmente diseñado.

Según los investigadores de Trend Micro, que vio la campaña de malware,

Los investigadores creen que este ataque implica el uso de una dirección de remitente disfrazada de correo electrónico legítimo enviado por un departamento de ventas y facturación.

Aquí está cómo funciona el ataque:

El escenario de ataque completo se muestra a continuación:

Paso 1: El ataque comienza con un correo electrónico que contiene un archivo malicioso de PowerPoint (PPSX) en el archivo adjunto, que pretende enviar información sobre una solicitud de pedido.

Paso 2: Una vez ejecutado, el archivo PPSX llama a un archivo XML programado en él para descargar el archivo “logo.doc” desde una ubicación remota y lo ejecuta a través de la función de animaciones de PowerPoint Show.

Paso 3: El archivo Logo.doc malformado activa la vulnerabilidad CVE-2017-0199, que descarga y ejecuta RATMAN.exe en el sistema de destino.

Paso 4: RATMAN.exe es una versión troyanizado de la herramienta de control remoto Remcos, que una vez instalado, permite a los atacantes para controlar los ordenadores infectados de su servidor de comando y control de forma remota.

Remcos es una herramienta de acceso remoto legítima y personalizable que permite a los usuarios controlar su sistema desde cualquier parte del mundo con algunas capacidades, como descargar y ejecutar el comando, un keylogger, un registrador de pantalla y grabadoras tanto para webcam como para micrófono.

Dado que el exploit se utiliza para entregar documentos infectados de archivo de texto enriquecido (.RTF), la mayoría de los métodos de detección de CVE-2017-0199 se centra en el RTF. Por lo tanto, el uso de un nuevo archivo PPSX permite a los atacantes evadir la detección de antivirus también.

La forma más sencilla de evitar completamente este ataque es descargar y aplicar los parches lanzados por Microsoft en abril que abordarán la vulnerabilidad CVE-2017-0199.

Vía |thehackernews

log in

reset password

Back to
log in