Un nuevo troyano roba archivos de Microsoft Office

Exploit microsoft office preferido ciberespionaje

Conviene hablar de una nueva amenaza que está afectando a los usuarios con sistema operativo Windows en sus equipos. Se trata de un nuevo troyano que se está distribuyendo a través de páginas web hackeadas y correos electrónicos spam buscando recopilar hasta 11 tipos de archivos distintos, pertenecientes en su mayoría a la suite Microsoft Word.

Aug_1st_java.exe es el archivo con el que muchos usuarios se están encontrando en sus equipo y que es el instalador de una amenaza que por el momento posee un ratio bastante bajo detección por parte de las principales herramientas de seguridad existentes.

La primera operación a realizar tras finalizar el proceso de instalación es modificar el registro del sistema operativo Windows para ganar persistencia en el sistema y no ser vulnerable a los reinicios o apagados que se lleven a cabo en el equipo.

Aunque el troyano aún no ha sido bautizado con ningún nombre, los expertos en seguridad sí han conseguido realizar un primer análisis de la amenaza y de su comportamiento. En primer lugar decir que se hace pasar por un proceso relacionado con el navegador Google Chrome para así pasar desapercibido ante la búsqueda de los usuarios de un proceso extraño en el administrador del sistema.

También hay que decir que se estaba difundiendo haciendo uso de un dominio web, habiendo procedido ya el servicio de hosting al cierre y limpieza del mismo. Sin embargo, el servidor de control aún continúa activo y la amenaza buscará distribuirse a través de otro tipo de medios, como por ejemplo unidades USB o carpetas compartidas a través de entornos de red.

Microsoft Office en el punto de mira

Tal y como ya hemos indicado al comienzo, la amenaza busca sobre todo recopilar información de archivos pertenecientes a la suite ofimática Microsoft Office, de ahí que el listado de archivos sea el siguiente: NP, SQL, PDF, RTF, TXT, XLSX, XLS, PPTX, PPT, DOCX y DOC.

Una vez encontrados la finalidad de la amenaza no es otra que enviar estos al servidor remoto ya mencionado con anterioridad.

– VER INFORMACIÓN ORIGINAL AL RESPECTO :
http://www.redeszone.net/2016/08/15/nuevo-troyano-roba-archivos-microsoft-office/#sthash.DzXzFzPf.dpuf

COMENTARIO:

Ver informe de virustotal sobre el fichero ransomware en cuestión:

https://www.virustotal.com/en/file/d6d64c61dada8b5ccfa970356057a6c2c7697f084922744c5a2e29aff079647b/analysis/1470314447/

Control actual del mismo con el ELIMD5.EXE indicando su MD5:
        b1380af637b4011e674644e0a1a53a64

saludos

ms, 16-8-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies