Una nueva campaña de malware descubierta por Cisco Talos Intelligence Group usa documentos RTF para explotar la vulnerabilidad de corrupción de memoria de Microsoft Office CVE-2017-11882 para distribuir el malware RAT que roba nuestros datos. Para ser más exactos, los hackers detrás de esta campaña de malware están explotando el problema de seguridad para «ejecutar código arbitrario en el contexto del usuario actual al no manejar adecuadamente los objetos en la memoria», como se detalla en la base de datos de Vulnerabilidades y Exposiciones comunes. Los hackers explotan Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1 y Microsoft Office 2016 utilizando documentos RTF creados con fines malintencionados.

Malware

RTF es un formato de documento de Microsoft diseñado para ser multiplataforma que, aunque no es compatible con macros o scripts, permite a los atacantes utilizar objetos de Vinculación e incrustación de objetos (OLE) u objetos de suscriptor de Macintosh Edition Manager, según la plataforma a la que se dirigen.

Esta campaña es capaz de esquivar a los antivirus

Esta campaña es una de muchas otras que utilizan la técnica de explotación CVE-2017-11882 para difundir una serie de muestras de malware diferentes utilizando la misma infraestructura, siendo el Agente Tesla, Loki y Gamarue los más notables. La campaña de malware de Agent Tesla explota la vulnerabilidad CVE-2017-11882 mediante el uso de un documento RTF creado con fines malintencionados con cero detecciones en VirusTotal.

«De cualquier manera, esto demuestra que el actor o sus herramientas tienen la capacidad de modificar el código del ensamblador de tal manera que los bytes del código de operación resultantes sean completamente diferentes, pero aun así explotan la misma vulnerabilidad», concluye el post de Cisco Talos. «Esta es una técnica que podría muy bien usarse para implementar otro malware de forma sigilosa en el futuro».

Según el equipo de investigación de Cisco Talos, el troyano de acceso remoto Agent Tesla puede recopilar y extraer información de inicio de sesión de múltiples aplicaciones (por ejemplo, Google Chrome, Mozilla Firefox, Microsoft Outlook), así como grabar videos, hacer capturas de pantalla e instalar otras herramientas maliciosas.