Los delincuentes cibernéticos explotan CVE-2017-11882 para ataques por correo electrónico y para usuarios europeos

De acuerdo con el punto de vista del experto, el correo electrónico que entrega malware no es un tipo de noticia, pero esta campaña es muy seria y debe saber que es un usuario de PC con Windows. Según los informes, una campaña agresiva de malware está utilizando correos electrónicos en idiomas europeos y está circulando archivos RTF que distribuyen las vulnerabilidades CVE-2017-11882 y recientemente advierte al equipo de inteligencia de seguridad de Microsoft. Estas vulnerabilidades permiten a los piratas informáticos inyectar automáticamente códigos maliciosos sin obtener el permiso de los usuarios.

Análisis de profundidad:

El año pasado, la vulnerabilidad de CVE-2017-11882 se usó en combinación con otras campañas que entregan Coblnt Trojan. De acuerdo con su descripción, el paquete de servicios de Microsoft Office 2007, el paquete de servicios de Microsoft Office 2010 permite a un atacante ejecutar un código ilegal en el contexto del usuario actual.

Instrucciones de eliminación de Coblnt Trojan desde PC infectada:

Un atacante agrega con éxito el código arbitrario CVE-2017-11882 en el contexto del usuario actual. Si el usuario ha iniciado sesión con derechos de usuario administrativos, puede tomar el control total de la computadora afectada e instalar el programa, cambiar o eliminar datos y muchos más. También tienen derecho a crear nuevas cuentas en el escritorio del usuario. Estos problemas se dirigen principalmente a Microsoft Office 2013 Service Pack 1, Microsoft Office 2010 Service Pack 2, Microsoft Office 2007 Service Pack 3 y Microsoft Office 2016

Es importante saber que Microsoft lanzó el parche CVE-2017-11882 manualmente en noviembre de 2017. A pesar de los hechos, todavía se utiliza en los ataques. Microsoft ha notado un aumento en tales actividades en las últimas semanas.

Sugerencia del experto:

La campaña actual involucró la descarga de archivos RTF que ejecutan múltiples scripts en su sistema, como VBScript, PHP y muchos más scripts. Luego, el script descarga las cargas útiles y las identifica como un troyano: MSIL / Cretasker. Por lo tanto, el ataque no se detiene aquí, abre una puerta trasera para conectarse inmediatamente al dominio malicioso para realizar sus actividades.

Artículos Similares