Especialistas identificaram que os cibercriminosos aperfeiçoaram a exploração de uma falha do Microsoft Office há muito corrigida, rastreada como CVE-2017-11882, para proliferar o notório spyware conhecido como’Agente Tesla‘. Esta falha de segurança, apesar de ter sido corrigida através de patches lançados em 2017, continua a ser uma ferramenta poderosa para invasores que pretendem infiltrar-se em sistemas usando e-mails de phishing cuidadosamente elaborados.
Documentos Infecciosos Disfarçados
O modus operandi envolve enganar os destinatários de e-mail para que abram documentos aparentemente benignos, como aqueles rotulados com termos relacionados a negócios, como “pedidos” e “faturas”. Esses rótulos enganosos encobrem documentos Excel transformados em armas que, ao serem baixados e abertos por usuários desavisados, iniciam uma comunicação clandestina com um servidor hostil. Isso serve como um canal para recuperar arquivos de malware ofuscados adicionais sem qualquer intervenção adicional do usuário.
O componente EQNEDT32.EXE do Office – uma ferramenta de edição de equações – é o ponto vulnerável, pois manipula incorretamente objetos na memória , permitindo a execução arbitrária de código. Apesar de um patch estar disponível há anos, alguns usuários negligenciaram a aplicação das atualizações ou estão utilizando versões não suportadas do Office, o que manteve a exploração viável. A Microsoft já alertou sobre a falha:
Uma campanha ativa de malware usando e-mails em idiomas europeus distribui arquivos RTF que carregam a exploração CVE-2017-11882, que permite que invasores executem automaticamente código malicioso sem exigir interação do usuário. pic.twitter.com/Ac6dYG9vvw
— Inteligência de Ameaças da Microsoft (@MsftSecIntel) 7 de junho de 2019
Técnicas Avançadas de Evasão e Exfiltração
Nos estágios subsequentes do ataque, o script VBS recuperado executa um código altamente ofuscado que evita a análise e baixa um JPG contendo um arquivo DLL oculto codificado em Base64. Aqui, um script do PowerShell extrai e executa o código malicioso da imagem, buscando, em última análise, a carga útil do Agente Tesla. Uma vez incorporado, esse spyware é capaz de registrar as teclas digitadas, capturar capturas de tela e coletar credenciais, garantindo aos invasores acesso irrestrito a informações corporativas confidenciais.
Para enfrentar essas ameaças, as empresas devem garantir ativamente que todo o seu software esteja ativo.-atualizar-se com os patches de segurança mais recentes e educar os funcionários sobre os perigos dos anexos de e-mail não solicitados. Empresas de segurança enfatizam a evolução contínua dos métodos de entrega de malware e enfatizam a importância de se manterem informados sobre ameaças emergentes à segurança cibernética para melhor defender a infraestrutura digital contra tais incursões.
