Powerpoint Malware Microsoft

Un grupo de investigadores ha descubierto que los hackers están aprovechando una vulnerabilidad que les permite eludir cualquier software antivirus para propagar un malware a través de Microsoft PowerPoint.

La falla radica en la Incrustación y Enlazado de Objetos (OLE, por sus siglas en inglés) de Windows, que consiste en un sistema distribuido de objetos y un protocolo desarrollado por Microsoft, que permite que un editor encargue a otro la elaboración de una parte de un documento para importarlo de nuevo posteriormente.

Los hackers han utilizado este sistema para ataques a través de documentos de formato enriquecido (RTF). De esta forma, los investigadores de Trend Micro descubrieron que los atacantes infectaron los archivos de PowerPoint para entregar el malware.

¿Cómo se ejecuta el ataque?

Los hackers envían un correo electrónico de ‘phishing’ a los usuarios, que incluye un mensaje de su fabricante y proveedor de cables. Hasta el momento, los responsables de los ataques se han dirigido a organizaciones especializadas en la fabricación de productos electrónicos. De esta forma, el contenido del mensaje parece ser enviado por algún socio de negocios relacionado a la solicitud de un pedido de la empresa en cuestión.

Cuando el archivo de PowerPoint es abierto, la vulnerabilidad CVE-2.017-0199 es aprovechada y el sistema queda a merced de los hackers. El código es ejecutado a través de la función que muestra las animaciones en PowerPoint, permitiendo que se descargue un archivo llamado ‘RATMAN.EXE’, que luego es ejecutado mediante PowerShell.

Hackers han estado utilizando la CDN de Google para distribuir malware

Microsoft desarrollo parches de liberación en el mes de abril para solucionar la vulnerabilidad, y recomendó a todos los usuarios actualizar sus sistemas operativos, manteniendo su atención en aquellos correos cuya naturaleza sea similar a la anteriormente descrita, ya que según los expertos, el ordenador puede permanecer bajo el control total del hacker sin que el usuario pueda darse cuenta.

Más en TekCrispy