Normalmente, ataques baseados em e-mail que incluem anexos maliciosos do Microsoft Office precisam enganar os usuários para que habilitem o recurso de macros. Porém, pesquisadores disseram que identificaram uma nova campanha de e-mail mal-intencionado que usa anexos do Office com armadilhas e sem macros.
Os ataques não geram o mesmo tipo de aviso padrão da Microsoft associado a ataques baseados em macros, de acordo com a pesquisa publicada na quarta-feira por SpiderLabs da Trustwave. Ao abrir o anexo, não há avisos ou pop-ups alertando as vítimas, disseram os pesquisadores.
O ataque usa anexos maliciosos do Word que ativam um processo de infecção em quatro estágios e que, em última análise, aproveita a vulnerabilidade do Office Equation Editor (CVE-2017-11882), corrigido no ano passado pela Microsoft. O payload foi projetado para roubar credenciais do e-mail, FTP e navegadores da vítima.
Os pesquisadores enfatizaram a natureza em camadas do ataque, comparando-o com um “turducken”, um prato de férias que enche um peru em um pato e depois em um frango.
“Este ataque ‘turducken’ realmente explora o CVE-2017-11882 no final para obter a execução do código”, disseram pesquisadores da Trustwave ao Threatpost em uma resposta por e-mail às perguntas. Os sistemas que foram corrigidos para o CVE-2017-11882 não são vulneráveis.
Pesquisadores da Trustwave disseram que a string de infecção do malware usa uma combinação de técnicas que começam com um anexo .DOCX formatado. O spam é originário do botnet Necurs. As linhas de assunto do e-mail se enquadram em quatro categorias relacionadas financeiramente: “TNT STATEMENT OF ACCOUNT”, “Request for Quotation”, “Telex Transfer Notification” e “SWIFT COPY FOR BALANCE PAYMENT”. Todos os e-mails examinados pelos pesquisadores da SpiderLabs tiveram o anexo chamado “receipt.docx”.
O Ataque Turducken
O processo de infecção em quatro estágios começa quando o arquivo .DOCX é aberto e dispara um objeto incorporado OLE (Object Linking and Embedding) que contém referências externas.
“Esse ‘recurso’ permite que o acesso externo a objetos OLE remotos sejam referenciados no document.xml.rels”, descreve os pesquisadores.
De acordo com a SpiderLabs, os atacantes estão aproveitando o fato de que os documentos do Word (ou .DOCX formatados) criados usando o Microsoft Office 2007 usam o “Open XML Format” (Formato XML Aberto). O formato é baseado em tecnologias de arquivo XML e ZIP e pode ser facilmente manipulado de forma programática ou manual, disseram os pesquisadores.
O estágio dois inclui o arquivo .DOCX que dispara o download de um arquivo RTF (Rich Text Format).
“Quando o usuário abre o arquivo DOCX, ele faz com que um arquivo de documento remoto seja acessado a partir da URL: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Este é realmente um arquivo RTF que é baixado e executado”, descrevem os pesquisadores.
Equation Editor Exploited
É o arquivo RTF que explora a vulnerabilidade do Office Equation Editor (CVE-2017-11882). Em novembro, a Microsoft corrigiu a vulnerabilidade. O Microsoft Equation Editor é instalado por padrão com o pacote do Office. O aplicativo é usado para inserir e editar equações complexas como itens OLE em documentos do Microsoft Word.
O terceiro estágio inclui a decodificação de texto dentro do arquivo RTF que, por sua vez, dispara uma linha de comando MSHTA que baixa e executa um arquivo HTA através de um HTML. Em seguida, o HTA contém um script PowerShell ofuscado que, eventualmente, baixa e executa o payload remoto – o Password Stealer Malware.
“O malware rouba as credenciais dos programas de e-mail, FTP e navegador, concatenando as strings disponíveis na memória e uso das APIs RegOpenKeyExW e PathFileExistsW para verificar se o registro ou os caminhos de vários programas existem”, mencionaram os pesquisadores.
Os pesquisadores observaram que o número de estágios e vetores usados nesses ataques é incomum. “Outro ponto notável é que o ataque usa tipos de arquivos (DOCX, RTF e HTA), que geralmente não são bloqueados por e-mail ou gateways de rede, ao contrário das linguagens de scripts mais óbvias como VBS, JScript ou WSF”, observaram os pesquisadores. “No final, tenha cuidado com documentos do Office desconhecidos ou inesperados e mantenha seus patches atualizados”.
.
.
Publicado originalmente no ThreatPost em 15 de fevereiro de 2018.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Tom Spring
Tradução por Tiago Souza
Imagem destacada deste post: creativeart / Freepik
.