“Os autores de malware ainda atingem seus objetivos confiando em vulnerabilidades antigas”, alertam pesquisadores de segurança.

Os criminosos cibernéticos estão explorando vulnerabilidades de segurança no Microsoft Office, conhecidas há anos por infectar PCs com malware em ataques que demonstram a importância de aplicar atualizações de segurança cibernética. 

Conforme detalhado por pesquisadores de segurança cibernética da Fortinet , os criminosos cibernéticos estão aproveitando as falhas de segurança não corrigidas para entregar o SmokeLoader , uma forma de malware que é instalada em máquinas Windows com a intenção de usá-lo para entregar malware adicional, incluindo Trickbot e vários  backdoors e trojan malware . 

Ambas as vulnerabilidades têm quase cinco anos, mas o fato de estarem sendo usadas para distribuir o SmokeLoader demonstra que ainda são eficazes. 

A primeira é a CVE-2017-0199 , uma vulnerabilidade no Microsoft Office que surgiu pela primeira vez em 2017 que permite que invasores baixem e executem scripts do PowerShell em redes comprometidas, fornecendo a capacidade de obter acesso adicional aos sistemas. 

A segunda é a CVE-2017-11882 , uma vulnerabilidade de estouro de buffer de pilha no Microsoft Office que permite a execução remota de código. Os patches de segurança para ambas as vulnerabilidades estão disponíveis desde que foram divulgados publicamente, há cinco anos. 

Como muitas outras campanhas de malware, os criminosos cibernéticos usam e- mails de phishing para coagir as vítimas a cair no ataque. Nesse caso, os pesquisadores detalham como o e-mail de phishing solicita que o destinatário revise um pedido de compra e os tempos de envio para confirmar se estão corretos. O e-mail tenta parecer o mais legítimo possível, incluindo uma assinatura completa com detalhes de contato relacionados. 

Para ver o que é supostamente uma ordem de compra, o usuário é solicitado a abrir um documento do Microsoft Office que possui 'proteções' em vigor. O usuário é solicitado a habilitar a edição para vê-lo, e é isso que permite que o documento malicioso execute o código necessário para explorar as vulnerabilidades, infectando o dispositivo da vítima com malware. 

“Embora CVE-2017-0199 e CVE-2017-11882 tenham sido descobertos em 2017, eles ainda estão sendo explorados ativamente nesta e em outras campanhas de malware”, disse James Slaughter, engenheiro sênior de inteligência de ameaças da Fortinet. 

"Isso demonstra que os autores de malware ainda atingem seus objetivos confiando em vulnerabilidades antigas, muitas vezes vários anos depois de serem descobertas, e apostando que as soluções afetadas não sejam corrigidas", acrescentou. 

As vulnerabilidades de segurança não corrigidas continuam sendo um dos vetores de ataque mais comuns para criminosos cibernéticos, muitos dos quais verificam ativamente a Internet em busca de sistemas e servidores vulneráveis. Portanto, é vital que as organizações apliquem as atualizações de segurança o mais rápido possível para evitar ataques de malware. 

Os pesquisadores observam que o SmokeLoader é usado para entregar o Trickbot. O Trickbot é comumente usado para entregar ransomware e outras ameaças cibernéticas maliciosas que podem ser extremamente perturbadoras. A melhor maneira de evitar ser vítima do SmokeLoader e de outras campanhas é garantir que os patches de segurança sejam aplicados, especialmente porque, neste caso, uma correção está disponível há anos. 

Fonte:ZDnet