Los expertos descubrieron una campaña de phishing que utiliza un exploit que elude un parche recientemente desarrollado contra un fallo RCE. El exploit permite a los atacantes desplegar el malware Formbook.
¿Qué ha ocurrido?
Según los investigadores, los atacantes están saltándose el fallo CVE-2021-40444 que afecta a los componentes de MSHTML.
- La campaña más reciente detectada por Sophos Labs elude la protección del parche mediante un nuevo exploit de Office.
- Los atacantes lo están utilizando como arma para distribuir el malware Formbook.
- Los investigadores creen que este nuevo ataque es posible porque el parche estaba demasiado enfocado, no abordaba el problema inicial por completo.
Modus operandi
En el reciente ataque, los atacantes envían el maldoc en un archivo RAR especialmente diseñado.
- El exploit modificado (CAB-less 40444) existió durante 36 horas entre el 24 y el 25 de octubre, durante las cuales se enviaron a las víctimas correos electrónicos de spam cargados con archivos RAR malformados.
- El archivo RAR se carga con un script que se escribe en Windows Script Host junto con un documento de Word.
- Cuando se abre, se comunica con un servidor remoto que aloja código JavaScript malicioso.
- El código JavaScript utiliza el documento de Word para lanzar el script WSH y ejecuta el comando PowerShell en el archivo RAR para obtener la carga útil del malware Formbook desde el sitio web del atacante.
Ataques recientes
Aunque Microsoft había solucionado el problema de seguridad como parte de sus actualizaciones de parches en septiembre de 2021, este exploit se ha seguido usando en numerosos ataques desde que se hicieron públicos los detalles relativos a este.
- Ese mismo mes, Microsoft descubrió una campaña de phishing dirigida que abusaba de la vulnerabilidad para desplegar Cobalt Strike Beacons en los sistemas Windows objetivo utilizando documentos de Office.
- En noviembre, SafeBreach Labs proporcionó detalles sobre una operación de atacantes iraníes dirigida a víctimas de habla farsi. Utilizaba un nuevo info stealer basado en PowerShell que recogía información.
Conclusión
Aunque los parches de seguridad ayudan a tapar las brechas de seguridad conocidas, este es uno de esos casos excepcionales. Se recomienda a las organizaciones que eduquen regularmente a sus empleados y les enseñen a identificar los correos electrónicos de phishing. La gente debe sospechar de los documentos de correo electrónico que vienen dentro de un archivo o formatos desconocidos.