Los investigadores de seguridad de FireEye han descubierto una nueva campaña de malware que propaga uno de botnet HTTP avanzado aprovechándose de tres vulnerabilidades divulgadas recientemente en Microsoft Office.

Apodado Zyklon, el malware ha resurgido después de casi dos años y se ha centrado principalmente en los servicios de telecomunicaciones, seguros y financieros.

Zyklon se comunica con sus servidores de mando y control sobre la red anónima de Tor y permite a los atacantes robar keylogs y datos confidenciales, como contraseñas almacenadas en navegadores web y clientes de correo electrónico. También es capaz de realizar otras tareas como la ejecución de ataques DDoS y minado de criptomonedas.

Según FireEye, los atacantes están explotando las tres vulnerabilidades halladas, utilizando para ello scripts de PowerShell que son ejecutados sobre las computadoras objetivo para descargar la carga útil definitiva desde el servidor de mando y control. Las tres vulnerabilidades son:

·         Vulnerabilidad .NET Framework RCE (CVE-2017-8759).

·         Vulnerabilidad de Microsoft Office RCE (CVE-2017-11882).

·         Protocolo de intercambio de datos dinámico (DDE Exploit).

Los atacantes se dedican a enviar documentos maliciosos dentro de ficheros ZIP, los cuales llegan a las víctimas mediante ataques de phishing por email. El documento malicioso que recibe la víctima está preparado para explotar de forma inmediata una de las vulnerabilidades expuestas mediante un script de PowerShell que se ejecuta nada más abrir el documento. Luego se descarga la carga útil final, que suele ser el malware Zyklon.

Curiosamente, la secuencia de comandos de PowerShell se conecta a una dirección IP sin puntos (por ejemplo: http://3627732942 ) para descargar la carga útil final. Las direcciones IP sin puntos son valores decimales de las direcciones IPv4. Casi todos los navegadores web modernos resuelven la dirección IP decimal en su dirección IPV4 equivalente.

Debido a que la vía de difusión son los emails a modo de phishing, recomendamos revisar minuciosamente el origen, el texto y el formato de los correos electrónicos recibidos, además de no abrir ningún documento de procedencia desconocida o no confiable.

 
Enlace a la noticia