Check Point Software Technologies Ltd ha scoperto i dettagli di una vulnerabilità in Microsoft Office 2007, 2010, 2013 e 2016. Il team di Check Point Research ha riscontrato questa vulnerabilità ad aprile 2017 e, nonostante la correzione, questa problematica è stata usata per diffondere malware come AgentTesla e Loki.
Le funzionalità di questo malware includono il furto di dati utente per accedere a Chrome da Google, Mozilla Firefox, Microsoft Outlook e altri. Permette inoltre all’hacker di installare più malware sui dispositivi infetti.
Tuttavia, a causa della natura di questo nuovo malware, che utilizza tecniche di offuscamento evasivo, la maggior parte dei software anti-virus non è stata in grado di rilevarlo finora.
Mentre si ritiene che i nuovi formati di documenti Word siano più sicuri dei file RTF o DOC, in questa quinta generazione di attacchi informatici i criminali informatici stanno cercando di essere un passo avanti e, quindi, adattano le tecniche per evitare le barriere tradizionali.
Come si comporta questa vulnerabilità
L’attacco inizia quando un utente apre un file RTF (Rich Text Format) dannoso con Microsoft Word. Subito dopo, Word avvia un processo, chiamato svchost, per aprire l’editor di equazioni di Microsoft. Solitamente questo è l’intero processo. Tuttavia, nel caso di AgentTesla, l’applicazione di editor di equazioni passa a un passaggio successivo in cui continua a lanciare i propri eseguibili.
Da qui, quando si avvia un secondo processo, viene stabilita una connessione al server C & C del cyber-attacker e il malware viene inviato per infettare il computer della vittima.
Per proteggersi da questo malware, Check Point consiglia agli utenti di aggiornare i propri sistemi e software utilizzati di frequente.