Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/04/2017
Nuevo ataque detectado aprovecha vulnerabilidad 0day en Word
Se ha detectado un nuevo tipo de ataque que instala malware en los equipos a través de un documento de Word malicioso. El ataque afecta incluso a equipos completamente actualizados.
La alarma la ha dado FireEye, que ha publicado una entrada en su blog de investigación de amenazas en la que indica que han detectado un ataque que aprovecha una vulnerabilidad en Word por la que se consigue ejecutar código VBS cuando el usuario abre un fichero.
El ataque se produce mediante el envío de un correo electrónico con un documento de Word adjunto. Este documento lleva un objeto incrustado que, al ser abierto, realiza una petición HTTP para descargar un fichero con extensión .hta, que se camufla como un fichero de texto enriquecido (RTF) falso. En ese momento se llama a la aplicación Microsoft HTA, que ejecuta el script malicioso, descargando ficheros adicionales e infectando el PC del usuario. Para que el usuario no note nada, el último paso de dicho script es abrir un nuevo documento, por lo que toda la ejecución del malware queda enmascarada.
Este ataque se considera novedoso ya que no es necesaria la activación de macros que venía siendo habitual en los ataques realizados hasta ahora.