logo MBR

Virus a través de archivos word

Compartir artículo

Durante los últimos días, varios investigadores de seguridad se dieron cuenta de un virus a través de archivos de texto malicioso que parece invocar una vulnerabilidad no revelada anteriormente en Microsoft Office. De este modo, la vulnerabilidad permite que el documento malicioso abra una URL y comience una cadena de infección.

El proceso de infección aprovecha la utilidad de Windows msdt.exe, que se utiliza para ejecutar varios paquetes de solución de problemas de Windows.  El documento malicioso que abusa de esta herramienta la invoca sin la interacción del usuario, y en consecuencia puede ejecutarse incluso si sólo se obtiene una “vista previa” del documento en el Explorador de Windows (pero sólo si se trata de un archivo RTF).

 

Cómo funciona el exploit

El script del documento de Word malicioso llama a un archivo HTML desde una URL remota. Los atacantes eligieron utilizar el dominio xmlformats[.]com, probablemente porque tiene un aspecto muy similar al dominio legítimo openxmlformats.org utilizado en la mayoría de los documentos de Word.

De la misma manera, ese archivo HTML contiene un bloque de código con características extrañas: 6324 bytes basura (61 líneas de filas comentadas de 100 caracteres “A”), seguidas de un script ligeramente ofuscado que, en un momento dado, descargó y ejecutó una carga útil.

Según mis compañeros de los laboratorios, es posible que no hayamos visto la cadena completa de acontecimientos relacionados con las muestras que se han hecho públicas. Por otro lado, hay medidas de mitigación que puedes tomar de inmediato para evitar que se utilice contra ti (o contra las máquinas que administras).

Detección y orientación

En resumen como el correo parece ser un vector de amenaza, los productos de Sophos detectarán el archivo adjunto bajo el nombre de detección CXmail/OleDl-AG, cuando esté incrustado en un mensaje. Además, hemos lanzado la detección Troj/DocDl-AGDX para las variantes conocidas de los maldocs (y el HTML que traen).  El equipo de detección de comportamiento también está actualizando nuestras reglas para mejorar nuestra protección en profundidad y vigilar la actividad.

Seguiremos trabajando en esto y estaremos atentos a muestras adicionales o al abuso de este novedoso exploit, y planeamos publicar más información sobre el fallo en los próximos días.

MBR

¿Necesitas más información?

¡Contáctanos y nuestro equipo resolverá todas tus dudas! 

Suscríbete a nuestro boletín

Recibe actualizaciones y promociones exclusivas.

Explora más artículos de tu interés

Sensor de ambiente

Compartir artículo Qué buscar en un sensor ambiental Por diseño, los sensores ambientales son herramientas de monitoreo que arrojan luz sobre amenazas invisibles que de

tarjetas de proximidad
CCTV y videovigilancia

¿Cómo funcionan las tarjetas de proximidad?

Los dispositivos de control de acceso a menudo sirven como la primera línea de defensa para proteger un edificio y sus ocupantes. Estas soluciones generalmente se basan en tarjetas RFID emitidas para dar acceso solo al personal autorizado.