Nova vulnerabilidade no Microsoft Office é encontrada pela Check Point - Wintech

A Check Point® Software Technologies Ltd. , fornecedor global líder em soluções de cibersegurança, revela os detalhes de uma vulnerabilidade nos Microsoft Office 2007, 2010, 2013 e 2016. A Check Point Research encontrou esta falha em Abril de 2017 e, apesar de ter sido feita a correção mal foi detetada esta vulnerabilidade, esta tem sido utilizada para divulgar malware de roubo de informação, como o AgentTesla e Loki.

As capacidades deste malware incluem o roubo dos dados do utilizador para iniciar sessão no Google Chrome, Mozilla Firefox, Microsoft Outlook e outros, fazer capturas de ecrã e gravações por câmaras web e ainda permite que o atacante instale mais malware nos dispositivos infetados. 

No entanto, por causa da natureza deste novo malware, o qual utiliza técnicas de ofuscação altamente evasivas, a maior parte dos antivírus não conseguiram detetá-lo até agora. Embora se acredite que os novos formatos de documentos Word são mais seguros do que os ficheiros RTF ou DOC, nesta quinta geração de ciberataques os cibercriminosos estão à procura de estar um passo à frente e assim adaptar as técnicas para evitar as barreiras tradicionais.

Como é que acontece esta infeção?

O ataque inicia quando um utilizador abre um ficheiro RTF (Rich Text Format) malicioso com o Microsoft Word. Logo a seguir, o Word lança um processo, denominado svchost, para abrir o editor de equações da Microsoft, uma aplicação auxiliar criada para realizar equações de matemática nos documentos Word. Normalmente este é todo o processo, no entanto, no caso do AgentTesla, a aplicação de editor de equações passa para um próximo passo onde continua a lançar, de forma suspeita, os seus próprios executáveis.

O executável chama-se "scvhost.exe", o que é surpreendentemente parecido ao nome do processo que iniciou o editor de equações. A partir daqui, quando se   inicia um segundo processo é estabelecida uma ligação ao servidor de Comando e Controlo (C&C) do ciberatacante e o malware é enviado para infetar o computador da vítima.

Da investigação teórica à proteção prática

Ao utilizar uma combinação complexa de proteções avançadas contra ameaças, múltiplas camadas de segurança avançadas e métodos automatizados de engenharia inversa, o Threat Emulation que é o núcleo do SandBlast Zero-Day Protection é capaz de detetar este malware antes que este tenha oportunidade de lançar um código evasivo e infetar o red ou o endpoint. Isto demonstra a importância da investigação e que as empresas precisam mais do que soluções tradicionais para proteger as suas redes contra os ataques de hoje em dia.

Para se protegerem contra este novo malware e contra outros desconhecidos, a Check Point recomenta que os utilizadores atualizem os sistemas e software que utilizam com frequência.

Obtenha mais informações sobre como o Check Point SandBlast Zero-Day Prevention pode manter as sua empresa totalmente protegida.

Classifique este item
(0 votos)
Ler 158 vezes Modificado em Nov. 20, 2018

Sobre nós

Nascida em 2002, a Wintech é uma pagina web que reúne informações sobre tecnologia. Apresenta regularmente guias, análises, reportagens e artigos especiais de tudo o que rodeia o mundo tecnológico. Saiba mais.

Wintech TV

Newsletter

Receba as notícias no seu e-mail

Top