Nuevo malware en Office.﷯ Los cibercriminales están probando nuevas formas para engañar cada vez a más víctimas, a fin de que instalen programas maliciosos, que hoy se descargan luego que el usuario utiliza el enlace de presentación de diapositivas en PowerPoint. Esto constituye una nueva amenaza, que ya no requiere usar macros de Office para ejecutar un guion o “script” malicioso, y así descargar e instalar malware en un computador. Investigadores de seguridad informática descubrieron recientemente el nuevo giro de malware que no necesita la ejecución de la opción macros, pues solo requiere que el destinatario abra un archivo PowerPoint y accione uno de los hipervínculos del documento, acción que provocará que se ejecute un “script” que establecerá la conexión al sitio web que contiene el malware. Esta clase de malware generalmente se distribuye por correo electrónico no deseado, incluyendo aquellos encabezados que sugirieren como asunto una factura u orden de compra. Los archivos adjuntos se envían en código abierto Microsoft PowerPoint (PPSX), que sólo se pueden ver pero no editar como ocurre con los archivos PPT o PPTX normales. De los ejemplos de PPSX analizados hasta el momento, se observa que una vez que se ejecutan, muestran en el hipervínculo el texto: “Cargando…espere”, inyectando entonces el malware automáticamente a menos que Office Protected View esté activo, afortunadamente esta protección se encuentra habilitada de forma predeterminada en Office 2010, una vez producida la detección el sistema muestra una advertencia de seguridad que bloquea la descarga. Dentro de la funcionalidad de este malware, el archivo PowerPoint infectado descarga un troyano bancario denominado como: Gootkit, Outlard, SentinalOne, o Zusy. A finales de mayo pasado, investigadores de la compañía de ciberseguridad Trend Micro detectaron una campaña de “spam”, creada para proliferar los archivos de PowerPoint maliciosos, cuyo objetivo fue atacar principalmente a organizaciones en el Reino Unido, Polonia, Holanda y Suecia. La campaña maliciosa no fue generalizada en esta ocasión, aunque los investigadores de Trend Micro creen que es una "carrera creada para futuras campañas", que puede incluir ataques por ransomware. EcuCERT, frente a esta problemática, recomienda mantener actualizada la versión de Microsoft Office 2010 y, sobre todo evitar abrir correos de dudosa procedencia. Fuente: https://goo.gl/Pe6o4w
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo

Copyright © 2017 EcuCERT