I cyber-criminali sfruttano CVE-2017-11882 per gli attacchi e-mail e gli utenti europei di targeting

Secondo il punto di vista dell’esperto, l’e-mail che consegna malware non è una specie di notizia, ma questa campagna è molto seria e devi sapere che è un utente di PC Windows. Secondo i rapporti, un’aggressiva campagna di malware utilizza le e-mail nelle lingue europee e sta diffondendo file RTF che distribuiscono gli exploit CVE-2017-11882 e recentemente ha lanciato un avvertimento al team di intelligence della sicurezza di Microsoft. Questi exploit consentono agli hacker di immettere automaticamente codici maligni senza ottenere l’autorizzazione dell’utente.

Analisi di profondità:

L’anno scorso la vulnerabilità di CVE-2017-11882 è stata utilizzata in combinazione con varie altre campagne che fornivano Coblnt Trojan. Secondo la sua descrizione, Microsoft Office 2007service pack 3, Microsoft Office 2010service pack 2 consente a un utente malintenzionato di eseguire un codice illegale nel contesto dell’utente corrente.

Istruzioni per la rimozione di Coblnt Trojan dal PC infetto:

Un utente malintenzionato aggiunge con successo il codice arbitrario CVE-2017-11882 nel contesto dell’utente corrente. Se l’utente è connesso con diritti di amministratore, può assumere il controllo completo del computer interessato e installare il programma, modificare o eliminare i dati e molti altri. Hanno anche il diritto di creare nuovi account sul desktop dell’utente. Questi problemi riguardano principalmente Microsoft Office 2013 Service Pack 1, Microsoft Office 2010 Service Pack 2, Microsoft Office 2007 Service Pack 3,, e Microsoft Office 2016

È importante sapere che Microsoft ha rilasciato manualmente la patch CVE-2017-11882 a novembre 2017. Nonostante i fatti, è ancora utilizzata negli attacchi. Microsoft ha notato un aumento di tali attività nelle ultime settimane.

Suggerimento di esperti:

La campagna corrente è coinvolta nel download di file RTF che eseguono più script nel tuo sistema come VBScript, PHP e molti altri script. Successivamente lo script scarica i payload e lo identifica come un Trojan: MSIL / Cretasker. Pertanto, l’attacco non si ferma qui apre la backdoor per connettersi immediatamente al dominio dannoso per svolgere le sue attività.

Articoli Simili