Atacantes usan una característica no documentada de  MS Office para filtrar datos del perfil del sistema

to de Word especialmente diseñado: no se necesitan macros VBA, objetos Flash incorporados o archivos PE.

La característica indocumentada está siendo utilizada por los adversarios, según los investigadores de Kaspersky Lab, como parte de un ataque de varios niveles que implica en primer lugar reunir los datos de configuración del sistema en los sistemas de destino.

La característica está presente en Word para Windows, así como en Microsoft Office para iOS y en Microsoft Office para Android. Los investigadores dicen que han observado varias campañas de phishing que contienen los accesorios maliciosos que están sentando las bases para ataques futuros usando esta técnica.

“Para asegurar que un ataque dirigido es exitoso, la inteligencia primero necesita ser recolectada, es decir, los tipos malos necesitan encontrar maneras de llegar a las víctimas potenciales y recopilar información sobre ellos. En particular, necesitan saber la versión del sistema operativo y la versión de algunas aplicaciones en el ordenador de la víctima, para que puedan enviarle la explotación adecuada “, dijeron los investigadores.

Los correos electrónicos de la campaña de phishing contenían documentos de Word en formato OLE2 (vinculación e incorporación de objetos). OLE permite a los autores incrustar objetos y vincular a varios recursos u otros objetos en un solo documento de Word. Usarlo puede permitir a un autor crear un campo en un documento que “apunte” al archivo gráfico en lugar de simplemente incrustar el archivo gráfico, por ejemplo.

Cuando los investigadores miraron más de cerca el código subyacente detrás de los adjuntos dudosos de Word que formaban parte de la campaña de phishing, encontraron el campo “INCLUDEPICTURE” que usaba Unicode como parte de sus instrucciones y no como formato ASCII.

Utilizando ese marco Unicode, los hackers pudieron manipular el código para activar la solicitud GET a URL maliciosas y ofuscadas contenidas dentro del código subyacente del mismo archivo adjunto de documento de Word. Esos enlaces apuntaban a scripts PHP ubicados en recursos web de terceros. “Como resultado, los atacantes recibieron información sobre el software instalado en la computadora”, dijeron.

Los investigadores identificaron la característica de Microsoft sin documentos sólo como campo INCLUDEPICTURE. “La documentación de Microsoft Office no proporciona básicamente ninguna descripción del campo INCLUDEPICTURE”, dijeron.

“Este es un mecanismo complejo que los malos han creado para llevar a cabo el perfil de las víctimas potenciales para ataques dirigidos. En otras palabras, realizan serias investigaciones a fondo para no detectarse mientras llevan a cabo ataques específicos “, dijeron los investigadores de Kaspersky. Dijeron que no hay nada sospechoso sobre el documento de Word a primera vista, sólo consejos de búsqueda de Google.

to en Fuente: