Hace más de un mes, un archivo de Word (.docx) remitido a VirusTotal desde Bielorrusia permitía identificarlo como un documento malicioso que se aprovechaba de una vulnerabilidad 'zero day' de Microsoft Office. Como tal, por ahora sortea las protecciones antimalware…
…pero lo peor es que es capaz de ejecutar código al abrir el documento, incluso cuando tenemos deshabilitado el uso de macros (que suelen ser la principal vía de entrada de malware a través de Office). Tal como analizaba en Twitter el grupo de expertos en ciberseguridad Nao_sec, el documento:
Hace uso de la función de 'plantilla remota' de Word para acceder a un fichero HTML de un servidor web remoto.
Éste, a su vez, es capaz de hacer uso de la herramienta de diagnósticos de Microsoft (MSDT) para cargar y ejecutar código PowerShell.
Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt— nao_sec (@nao_sec) May 27, 2022
Esto provoca que la infección del equipo del usuario sea inmediata una vez que hemos abierto el documento de Word, por lo que concede al atacante acceso a nuestro sistema Windows, permitiéndole recopilar los 'hashes' de nuestras contraseñas.
En Genbeta
Las macros de Office son una gran vía de entrada de malware: esto es lo que Microsoft hará en Word, Excel y otros para protegernos
…