Varios investigadores de seguridad han descubierto que los hackers están sacando partido de una vieja vulnerabilidad de Microsoft Office para distribuir un malware capaz de hacerse con el control total de los dispositivos infectados. La vulnerabilidad es la CVE-2017-11882, y se trata de una vulnerabilidad de 17 años que permite ejecutar código remotamente en Microsoft Office. La vulnerabilidad ya ha sido reparada, pero los usuarios que no se hayan instalado el parche de seguridad de Microsoft de este mes, todavía están en riesgo de ser infectados por Cobalt.
Según declaraciones de los investigadores, “hemos comprobado en varias ocasiones que los criminales están sacando provecho de una vulnerabilidad de Office que ha sido parcheada recientemente, gracias a la cual están distribuyendo malware utilizando un componente de una conocida herramienta de penetración de sistemas, llamada Cobalt Strike”.
Un documento RTF protegido por contraseña
Esta campaña de malware va dirigida especialmente a los usuarios de habla rusa, enviándoles un email malicioso que finge provenir de algún servicio de pago como Visa. Una vez que la víctima accede al email, se le presenta un documento RTF protegido por contraseña, pidiéndole sus credenciales de usuario para abrirlo. Este detalle protege al documento malicioso de los análisis del antivirus y evita que sea detectado, y al mismo tiempo el usuario se convence de que se trata de un email legítimo, ya que considera esta medida de seguridad una buena noticia, sobre todo viniendo de un servicio de pago como es Visa.
Cuando el usuario abre el documento, un script de PowerShell se ejecuta en segundo plano, descargando el cliente de Cobalt Strike en el PC del usuario e infectando el sistema. En este punto, los hackers obtienen control total sobre el PC, y pueden descargar, borrar o copiar documentos a su antojo. La vulnerabilidad ya ha sido corregida en el parche de este mes de noviembre por los chicos de Microsoft, pero todos los usuarios de Office que no la hayan descargado todavía, están en riesgo de ser infectados por Cobalt. Así que recomendamos a todos los usuarios que se actualicen para tener un ordenador más seguro.