PWS-STEALER-C : INSTALA UN EXE UTILIZANDO LA VULNERABILIDAD CVE 2017 DEL MSOFFICE AL EJECUTAR FICHEROS MALICIOSOS RTF CONTENIDOS EN UN ZIP ANEXADOS A UN MAIL CON DICHO EXPLOIT

A través de un mail malicioso, llega un anexado ZIP, conteniendo un fichero RTF, que instala un fichero EXE, aprovechando la Vulnerabilidad CVE-2017

mail tipico en cuestión:

Asunto: Confirm Order
De: “Rajesh Deshmukh ” <>
Fecha: 13/03/2018 12:40
Para: Recipients <>

Hello Sir

We will like to know your detailed cost for the following inquiry for attached P.O
send us quotation and confirm availability of such bulk carrier

Thanks

Rajesh Deshmukh
Optec International
P.O. Box 122

Kingdom of Bahrain

Tel : 00973-17731-316 ext. 425

Fax : 00973-17736-979

anexado: PO#23032018.zip —> contiene PO#23032018.rtf —> instala EXE malicioso por exploit de CVE2017

______

Descripción de la vulnerabilidad que utiliza este exploit:

Microsoft Edge permite a los atacantes remotos eludir la Política de origen idéntico a través de vectores que incluyen la URL en blanco y datos URL, también conocido como “vulnerabilidad de elevación de privilegios de Microsoft Edge”.

A través de dicha vulnerabilidad se ha instalado el fichero:

an.exe

quedando residente y actuando similar al Backdoor ANDROM

Sobre el RTF en cuestión, el virustotal presenta este informe.

 

y sobre el EXE descargado :

Preanalisis de virustotal del EXE descargado por la vulnerabilidad CVE 2017

A partir del ELISTARA 38.65 de hoy pasamos a controlar dicho EXE malicioso, la cual estará disponible en nuestra web a partir del prox 14/3

NOTA IMPORTANTE: MUCHO CUIDADO CON ESTE ENGENDRO, QUE INSTALA EL EXE MALICIOSO SIMPLEMENTE POR EJECUTAR EL RTF MALICIOSO DEBIDO A LA VULNERABILIDAD CVE 2017, HASTA QUE ESTA SEA CORREGIDA !!!

saludos

ms, 13/3/2018

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies