Investigadores de ciberseguridad han desvelado que se están produciendo ataques de phishing explotando un nuevo exploit, que consigue pasar por alto el parche de seguridad implementado por Microsoft para corregir una vulnerabilidad del componente MSHTML.
Con estos ataques, los hackers consiguen ejecutar código arbitrario de forma remota e infectar el sistema con el malware Formbook.
Formbook es un troyano infostealer disponible como malware-as-service (MaaS), cuyo principal objetivo es robar información confidencial de los sistemas infectados. Contraseñas guardadas en los navegadores, en clientes de correo y otra información confidencial son el objetivo preferido de este malware. El éxito de este robo de datos provoca en muchos casos ataques posteriores más peligrosos.
La vulnerabilidad fue clasificada como CVE-2021-40444 con una puntuación de gravedad de 8.8 sobre 10 y, como ya hemos mencionado, permite la ejecución remota de código en el componente MSHTML. En la campaña de phishing previa al ataque, se están utilizando documentos de Microsoft Office especialmente diseñados.
Microsoft lanzó un parche de seguridad para corregir esta vulnerabilidad, pero desde que se hizo público el informe de seguridad de esta vulnerabilidad, los atacantes están utilizando la prueba de concepto para construir un exploit de Office y distribuir el malware Formbook.
Esta investigación es un recordatorio de que los parches por sí solos no pueden proteger contra todas las vulnerabilidades en todos los casos. Establecer restricciones que eviten que un usuario active accidentalmente un documento malicioso ayuda, pero las personas aún pueden ser engañadas para que hagan clic en el botón ‘habilitar contenido.
Andrew Brandt, investigador de SophosLabs.
Las primeras versiones de este exploit, tenían como vector de entrada un documento de Microsoft Office que recuperaba una carga útil de malware empaquetada en un archivo Cabinet (.CAB). Cuando Microsoft solventó esta vulnerabilidad en la actualización de seguridad, los atacantes comenzaron a utilizar una cadena diferente en un archivo RAR creado para este fin.
CAB-less 40444, que es como se denomina a este nuevo exploit modificado, fue descubierto en correos Spam el 24 de Octubre. Dentro del adjunto en formato RAR que incluye esta campaña de phishing, se encuentra un script de tipo Windows Script Host (WSH) y un documento de Microsoft Word, que al abrirse, contacta con un servidor remoto donde se aloja el código JavaScript malicioso.
Este código JavaScript utiliza el documento de Word como conducto para iniciar el script WSH y ejecutar un comando de PowerShell, que finalmente recupera el malware Formbook de un servidor remoto controlado por el atacante.
Tal y como señala Andrew Brandt, en ciertas ocasiones los parches de seguridad no pueden evitar todas las variantes de una vulnerabilidad. En estos casos, mientras Microsoft no lance otra actualización de seguridad, educar a los usuarios para que hagan uso del correo electrónico de una forma segura, es la mejor opción para mitigar las amenazas.
