Microsoft Office vuelve a estar en el punto de mira de los cibercriminales. Una vulnerabilidad encontrada por los investigadores de Check Point en Microsoft Office 2007, 2010, 2013 y 2016 permite propagar malware de robo de datos como AgentTesla y Loki.

“Las capacidades del malware incluyen el robo de credenciales de inicio de sesión del usuario a través de Google Chrome, Mozilla Firefox, Microsoft Outlook y otros, con capturas de pantalla, grabación de webcams e instalación de malware adicional en los equipos infectados” apuntan desde Check Point.

Además, debido a que este nuevo malware utiliza técnicas de ofuscación de código altamente evasivas, la mayoría de los antivirus no lo han detectado hasta el momento. Porque, aunque pensemos que los formatos de documentos de Word modernos son más seguros que los archivos RTF o DOC, los ciberdelincuentes van un paso por delante y adaptan sus técnicas continuamente para sortear las barreras tradicionales.

Así se produce la infección

El ataque comienza cuando un usuario abre un fichero RTF (Rich Text Format) malicioso utilizando Microsoft Word. Poco después, Word lanza un proceso (denominado svchost) para abrir el Editor de Ecuaciones de Microsoft (una aplicación auxiliar utilizada para crear ecuaciones matemáticas incrustadas en los documentos de Word). En circunstancias normales, este debería ser el final del proceso, sin embargo, en el caso de AgentTesla, la aplicación Editor de Ecuaciones continúa de forma automática, y muy sospechosa, lanzando sus propios ejecutables.

El ejecutable que lanza, llamado “scvhost.exe”, es sorprendentemente similar en nombre al proceso que lanzó el propio editor de ecuaciones. Es en este punto, cuando se inicia el segundo proceso, se establece una conexión con el servidor de Comando y Control (C&C) del ciberatacante y se envía el malware para infectar el ordenador de la víctima.

Para protegerse contra este nuevo malware y otros desconocidos, se recomienda a los usuarios que actualicen con frecuencia sus sistemas y el software que utilizan con el fin de tener siempre la última versión existente.

About Author

Desiree Rodriguez

Responsable de Globb Security France y España. Periodista, Comunicadora Audiovisual y editora. Antes de unirse a GlobbTV, desarrolló la mayor parte de su carrera profesional en el grupo editorial de Madiva. Twitter: @Drodriguezleal.

Deja un comentario