Los atacantes a menudo buscan vulnerabilidades a través de las cuales pueden explotar la máquina e instalar malware. Esta vez, los atacantes están explotando una vulnerabilidad de Windows Object Linking Embedding (OLE) a través de Microsoft PowerPoint.
Según un informe de la empresa de seguridad Trend Micro, el tipo más común de interfaz que se utiliza para explotar la vulnerabilidad es el uso de archivos de texto enriquecido. Todo esto se hace usando una máscara de presentaciones de diapositivas de PowerPoint. El modus operandi es sin embargo bastante típico, se envía un correo electrónico que contiene un archivo adjunto. El contenido del correo electrónico se prepara de tal manera que atrae la atención inmediata del destinatario y también maximiza las posibilidades de respuesta.
Aparentemente, el documento adjunto es un archivo PPSX que es un formato de archivo asociado con el PowerPoint. Este formato sólo ofrece reproducción de la diapositiva pero las opciones de edición están bloqueadas. En caso de que el archivo se abra, sólo mostrará el siguiente texto, CVE-2017-8570. (Otra vulnerabilidad para Microsoft Office.) .
En realidad, al abrir el archivo se desencadenará un exploit para otra vulnerabilidad llamada CVE-2017-0199 y luego se descargará el código malicioso a través de las animaciones de PowerPoint. Eventualmente, se descargará un archivo llamado logo.doc. El documento está formado por un archivo XML con código JavaScript que se utiliza para ejecutar un comando de PowerShell y descargar el programa malicioso llamadoRATMAN.exe, que es un troyano de acceso remoto al que se hace referencia como…
El troyano puede grabar pulsaciones de teclas, capturar capturas de pantalla, grabar vídeos y también descargar otros programas maliciosos. En esencia, el atacante tendrá el control total de su computadora y literalmente puede causar daños graves al robar toda su información, incluyendo las contraseñas bancarias. El uso del archivo de PowerPoint es un toque inteligente ya que el motor antivirus buscará el archivo RTF.
Dicho esto, Microsoft ya ha reparado la vulnerabilidad en abril y esta es una de las razones por las que sugerimos a la gente que mantenga sus PCs actualizados. Otro consejo por excelencia es evitar descargar archivos adjuntos de fuentes desconocidas, simplemente no lo haga.