Inicio de zonavirus, antivirus
SATINFO

PWS-STEALER-C : INSTALA UN EXE UTILIZANDO LA VULNERABILIDAD CVE 2017 DEL MSOFFICE AL EJECUTAR FICHEROS MALICIOSOS RTF

msc hotline sat
martes, 13 de marzo de 2018

PWS-STEALER-C : INSTALA UN EXE UTILIZANDO LA VULNERABILIDAD CVE 2017 DEL MSOFFICE AL EJECUTAR FICHEROS MALICIOSOS RTF CONTENIDOS EN UN ZIP ANEXADOS A UN MAIL CON DICHO EXPLOIT





A través de un mail malicioso llega un anexado ZIP, conteniendo un fichero RTF, que instala un fichero EXE, aprovechando la Vulnerabilidad CVE-2017





mail tipico en cuestión:



Asunto: Confirm Order

De: "Rajesh Deshmukh " <>

Fecha: 13/03/2018 12:40

Para: Recipients <>



Hello Sir



We will like to know your detailed cost for the following inquiry for attached P.O

send us quotation and confirm availability of such bulk carrier



Thanks





Rajesh Deshmukh

Optec International

P.O. Box 122





Kingdom of Bahrain



Tel : 00973-17731-316 ext. 425



Fax : 00973-17736-979





anexado: PO#23032018.zip ---> contiene PO#23032018.rtf --> instala EXE por CVE2017





______



Descripción de la vulnerabilidad que utiliza este exploit:



Microsoft Edge permite a los atacantes remotos eludir la Política de origen idéntico a través de vectores que incluyen la URL en blanco y datos URL, también conocido como "vulnerabilidad de elevación de privilegios de Microsoft Edge".



A través de dicha vulnerabilidad se ha instalado el fichero:



an.exe



quedando residente y actuando similar al Backdoor ANDROM





Sobre el RTF en cuestión, el virustotal presenta este informe.

https://www.virustotal.com/es/file/1a9c3aeaf8db851c8be2377fe077e6de8555439299fdd6a4be43435617588f00/analysis/1520942256/



y sobre el EXE descargado :



Preanalisis de virustotal del EXE descargado por la vulnerabilidad CVE 2017

https://www.virustotal.com/es/file/359d1b815029828a2449641b1abe2f782740d8064adcb29df6012852676a3b8c/analysis/1520954057/





A partir del ElistarA 38.65 de hoy pasamos a controlar dicho EXE malicioso, la cual estará disponible en nuestra web a partir del prox 14/3





NOTA IMPORTANTE: MUCHO CUIDADO CON ESTE ENGENDRO, QUE INSTALA EL EXE MALICIOSO SIMPLEMENTE POR EJECUTAR EL RTF MALICIOSO DEBIDO A LA VULNERABILIDAD CVE 2017 HASTA QUE ESTA SEA CORREGIDA !!!





saludos



ms, 13/3/2018

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus

>> FaceBook

© 1998-2018 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto