Cibercriminosos estão explorando uma vulnerabilidade antiga do Microsoft Office para distribuir o XWorm, um malware que proporciona acesso remoto total a computadores com Windows. De acordo com informações do TecMundo, pesquisadores de segurança da Fortinet identificaram essa nova campanha que utiliza e-mails corporativos falsos para instalar o programa malicioso.
Como o ataque é realizado?
O ataque começa com um e-mail de phishing, que se passa por comunicações corporativas legítimas, contendo um anexo no formato .XLAM. Ao abrir o anexo, uma falha de segurança descoberta em 2018 é explorada, permitindo a execução remota de código na máquina da vítima. Essa vulnerabilidade, catalogada como CVE-2018-0802, ainda é explorada porque muitos sistemas permanecem desatualizados.
Quais são as técnicas utilizadas pelos hackers?
Os hackers utilizam técnicas sofisticadas, como a esteganografia, para esconder o código malicioso dentro de arquivos aparentemente inofensivos, como imagens JPEG. O malware é executado na memória do computador sem ser gravado no disco, o que dificulta a detecção por antivírus tradicionais. O XWorm, uma vez ativo, permite o controle remoto quase total do computador da vítima.
O que o XWorm pode fazer?
O XWorm 7.2, a versão mais recente identificada, permite aos criminosos controlar o mouse e teclado, acessar câmera e microfone, roubar senhas e até lançar ataques DDoS ou aplicar ransomware. A arquitetura modular do malware, com suporte a mais de 50 plugins, permite sua constante evolução.
Como se proteger desse ataque?
A vulnerabilidade explorada foi corrigida pela Microsoft em 2018, mas muitos sistemas permanecem vulneráveis devido à falta de atualizações. Manter o software atualizado é uma das principais medidas de proteção contra esse tipo de ataque.
Fonte original: TecMundo
