As campanhas de spam que fornecem o malware Zyklon HTTP estão tentando explorar três vulnerabilidades relativamente novas do Microsoft Office. Os ataques visam empresas de telecomunicações, seguros e serviços financeiros.
De acordo com pesquisadores do FireEye que identificaram as campanhas, os invasores estão tentando coletar senhas e dados de carteiras de criptomoedas juntamente com o recrutamento de sistemas alvo para possíveis ataques futuros de negação de serviço distribuídos.
Os pesquisadores disseram que os ataques começam com campanhas de spam que fornecem arquivos ZIP maliciosos que contém um dos vários arquivos do tipo DOC que, em última instância, exploram uma das três vulnerabilidades do Microsoft Office.
A primeira vulnerabilidade é um bug do framework .NET (CVE-2017-8759) e que foi corrigido pela Microsoft em outubro passado. Os alvos que abrem um documento infectado permitem que os invasores instalem programas, manipulem dados e criem novas contas privilegiadas, disse a Microsoft. No contexto do ataque descrito pelo FireEye, o arquivo DOC infectado contém um Objeto OLE incorporado que, após a execução, desencadeia o download de um arquivo DOC adicional a partir de uma URL armazenada.
A segunda vulnerabilidade (CVE-2017-11882) é um bug de execução de código remoto antigo, de 17 anos, encontrado em um executável do Office chamado Microsoft Equation Editor. Esse bug foi corrigido como parte do patch lançado pela Microsoft em novembro de 2017. Semelhante à vulnerabilidade anterior, as vítimas que abrem um DOC especialmente criado transferem automaticamente um arquivo DOC adicional que contém um comando PowerShell usado para baixar o payload final.
A Microsoft não considera a terceira falha, Dynamic Data Exchange (DDE) como uma vulnerabilidade. Em vez disso, insiste que o DDE é um recurso do produto. No entanto, em novembro lançou orientações para os admins sobre como desativar com segurança o recurso através de novas configurações de registro para o Office.
O DDE é um protocolo que estabelece como os aplicativos enviam mensagens e compartilham dados através da memória compartilhada. No entanto, os atacantes encontraram grande sucesso ao longo do ano passado com o malware baseado em macro que explora o DDE para lançar droppers, explorações e malware.
Ataques mais recentes
No caso dos ataques mais recentes, FireEye disse que o DDE também é usado para fornecer um dropper.
“Em todas essas técnicas, o mesmo domínio é usado para baixar o payload do próximo nível (Pause.ps1), que é outro script do PowerShell codificado em Base64”, escreveram os pesquisadores. “O script Pause.ps1 é responsável por resolver as APIs necessárias para a injeção dos códigos”. Em última análise, o Pause.ps1 atua como outro dropper para entregar o “payload do core” final, que é o malware Zyklon.
“O Zyklon é um backdoor completo, disponível publicamente, capaz de fazer keylogging, capturar senhas, baixar e executar plugins adicionais, realizar ataques de negação de serviço distribuídos (DDoS), auto-atualização e auto-remoção”, escreveu o FireEye.” O malware pode baixar vários plugins, alguns dos quais incluem recursos como mineração de criptomoedas e recuperação de senhas salvas em navegadores e softwares de e-mail”.
Neste caso, o Zyklon também está configurado para camuflar as comunicações com o seu comando e controle através da rede Tor. “O executável Zyklon contém outro arquivo criptografado em sua seção de recursos .Net chamada tor. Este arquivo é descriptografado e injetado em uma instância de InstallUtiil.exe, e funciona como um Tor Anonymizer,” disseram os pesquisadores.
A partir daí, o malware pode ser usado por um invasor para realizar inúmeras tarefas diferentes, baixar novos plugins, roubar senhas ou abrir um proxy para estabelecer um servidor proxy reverso Socks5 em máquinas host infectadas, disseram os pesquisadores.
“Estes tipos de ameaças mostram por que é muito importante garantir que todo o software seja totalmente atualizado. Além disso, todas as indústrias devem estar em alerta, pois é altamente provável que os atores da ameaça eventualmente se movam para fora do escopo de sua atual segmentação “, disse a equipe do FireEye.
Publicado originalmente no ThreatPost em 17 de janeiro de 2018.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Tom Spring
Tradução por Tiago Souza