Hackers exploram velha vulnerabilidade do MS Excel para espalhar o malware Agent Tesla
21 de Dezembro de 2023

Os invasores estão armando uma antiga vulnerabilidade do Microsoft Office como parte de campanhas de phishing para distribuir um tipo de malware chamado Agent Tesla.

Os vetores de infecção se aproveitam de documentos falsos do Excel anexados em mensagens com tema de fatura para enganar possíveis alvos a abri-los e ativar a exploração da CVE-2017-11882 (pontuação CVSS: 7,8), uma vulnerabilidade de corrupção de memória no Editor de Equações do Office que pode resultar em execução de código com os privilégios do usuário.

As descobertas, que vêm do Zscaler ThreatLabz, ampliam relatórios anteriores do Fortinet FortiGuard Labs, que detalharam uma campanha de phishing semelhante que explorava a falha de segurança para entregar o malware.

"Uma vez que um usuário baixe um anexo malicioso e o abra, se sua versão do Microsoft Excel for vulnerável, o arquivo Excel inicia comunicação com um destino malicioso e prossegue para baixar arquivos adicionais sem exigir qualquer interação adicional do usuário", disse o pesquisador de segurança Kaivalya Khursale.

A primeira payload é um script obfuscado do Visual Basic, que inicia o download de um arquivo JPG malicioso que vem embutido com um arquivo DLL codificado em Base64.

Essa tática de evasão esteganográfica também foi detalhada anteriormente pelo McAfee Labs em setembro de 2023.

O DLL oculto é posteriormente injetado no RegAsm.exe, a Ferramenta de Registro de Montagem do Windows, para lançar a payload final.

Vale a pena notar que o executável também foi abusado para carregar o Quasar RAT no passado.

Agent Tesla é um keylogger avançado baseado .NET e cavalo de Tróia de acesso remoto (RAT) que está equipado para colher informações sensíveis de hosts comprometidos.

O malware então se comunica com um servidor remoto para extrair os dados coletados.

"Os atores de ameaças constantemente adaptam os métodos de infecção, tornando imperativo para as organizações se manterem atualizadas sobre as ameaças cibernéticas em evolução para salvaguardar sua paisagem digital", disse Khursale.

O desenvolvimento ocorre à medida que falhas de segurança antigas se tornam novos alvos de ataque para os atores de ameaças.

No início desta semana, a Imperva revelou que uma falha de três anos no Oracle WebLogic Server ( CVE-2020-14883 , pontuação CVSS: 7,2) está sendo utilizada pelo 8220 Gang para entregar mineradores de criptomoeda.

Também coincide com um aumento na atividade de malware DarkGate após começar a ser anunciado este ano como uma oferta de malware como serviço (MaaS) e como substituto do QakBot após sua derrubada em agosto de 2023.

"O setor de tecnologia é o mais impactado pelas campanhas de ataque do DarkGate", disse a Zscaler, citando dados de telemetria do cliente.

"A maioria dos domínios DarkGate tem de 50 a 60 dias, o que pode indicar uma abordagem deliberada em que os atores de ameaça criam e rotacionam domínios em intervalos específicos."

Campanhas de phishing também foram descobertas visando o setor de hospitalidade com mensagens de e-mail relacionadas a reservas para distribuir malware de roubo de informações, como o RedLine Stealer ou Vidar Stealer, de acordo com a Sophos.

"Inicialmente contatam o alvo por e-mail que contém apenas texto, mas com um assunto que uma empresa de serviços (como um hotel) gostaria de responder rapidamente", disseram os pesquisadores Andrew Brandt e Sean Gallagher.

"Apenas depois que o alvo responde ao e-mail inicial do ator da ameaça, o ator da ameaça envia uma mensagem de acompanhamento vinculando ao que afirmam ser detalhes sobre seu pedido ou reclamação."

Furtivos e trojans à parte, os ataques de phishing assumiram a forma de emails falsos do Instagram "Infringimento de direitos autorais" para roubar os códigos de backup de autenticação de dois fatores (2FA) dos usuários através de páginas web fraudulentas com o objetivo de contornar as proteções de conta, um esquema chamado Insta-Phish-A-Gram.

"Os dados que os atacantes recuperam deste tipo de ataque de phishing podem ser vendidos no submundo ou usados para assumir a conta", disse a empresa de segurança cibernética.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...