Investigadores en seguridad de FireEye han descubierto una campaña activa dedicada a explotar tres vulnerabilidades de Microsoft Office para infectar ordenadores con un malware llamado Zyklon.

Zyklon no es un malware nuevo, ya que está activo desde 2016. Se dedica a generar una botnet mediante HTTPpudiendo comunicarse con un servidor de mando y control al que se conecta mediante la red Tor, anonimizando así el tráfico entre el malware y los atacantes. Como acciones, según lo ordenado por los atacantes, puede registrar las pulsaciones del teclado y robar datos sensibles como contraseñas almacenadas en navegadores web o clientes de email. Mediante la adición de complementos es capaz realizar otras tareas como la ejecución de ataques DDoS y el minado de criptomonedas. En un principio sus objetivos principales fueron los servicios de telecomunicaciones, seguros y financieros. Se han descubierto dos versiones de Zyklon que han sido encontradas en el mercado negro. Una es la compilación normal, que cuesta 75 dólares estadounidenses, mientras que la otra, con Tor habilitado, cuesta 125 dólares.

Según FireEye y como ya comentamos al principio, los atacantes están explotando tres vulnerabilidades halladas en Microsoft Office, utilizando para ello scripts de PowerShell que son ejecutados sobre las computadoras objetivo para descargar la carga útil definitiva desde el servidor de mando y control.

  • Vulnerabilidad de ejecución de código en remoto hallada en .NET Framework (CVE-2017-8759): Se explota cuando .NET Framework ejecuta una entrada no confiable, permitiendo a un atacante tomar el control del sistema afectado mediante el engaño de la víctima para que abra un documento malicioso específicamente diseñado que ha enviado mediante email. Esta vulnerabilidad fue parcheada en septiembre de 2017.
  • Vulnerabilidad de ejecución de código en remoto hallada en Microsoft Office (CVE-2017-11882): Ya la hemos tratado en más de una ocasión, siendo una vulnerabilidad que llevaba presente en la suite ofimática 17 años y permitía a los atacantes ejecutar código en remoto tras la apertura de un documento malicioso.
  • La tercera vulnerabilidad genera polémica, ya que Microsoft no la considera un fallo. Se trata de una técnica que permite a los atacantes apoyarse en Dynamic Data Exchange Protocol, una característica de Microsoft Office, para llevar a cabo una ejecución de código sobre el ordenador objetivo sin que se requiera de habilitar las macros o provocar una corrupción de memoria. El gigante de Redmond han publicado una guía sobre cómo evitarla.

Las personas tras la campaña recientemente descubierta se dedican a enviar documentos maliciosos dentro de ficheros ZIP, los cuales llegan a las víctimas mediante ataques de phishing por email. El documento malicioso que recibe la víctima está preparado para explotar de forma inmediata una de las vulnerabilidades expuestas mediante un script de PowerShell que se ejecuta nada más abrir el documento. Luego se descarga la carga útil final, que suele ser el malware Zyklon.

Un dato interesante sobre los scripts de PowerShell creados para esta campaña es que tienen en su código unas IP escritas sin puntos, o sea, en formato decimal. En la red se pueden encontrar conversores para pasar una IPv4 en formato decimal. Por ejemplo, la IP de Google es 216.58.207.206, que convertida a decimal es http://3627732942. También se puede copiar y pegar la dirección HTTP en decimal en un navegador web moderno para comprobar que dirige al mismo buscador.

La IP de Google convertida a decimal

Debido a que la vía de difusión son los emails a modo de phishing, recomendamos revisar minuciosamente el origen, el texto y el formato de los correos electrónicos recibidos, además de no abrir ningún documento de procedencia desconocida o no confiable.

Fuente: The Hacker News

Compartir