Vulnerabilidad de MS Excel explotada para distribuir el agente Tesla
Los actores de amenazas con intenciones maliciosas han estado explotando una antigua vulnerabilidad de MS Excel como parte de su campaña de phishing. El objetivo de estos exploits es distribuir un malware de robo de información llamado Agent Tesla.
Según informes recientes, una vulnerabilidad de corrupción de memoria se está utilizando como parte activa de exploits en un intento de obtener privilegios de ejecución de código. En este artículo, nos sumergiremos en todos los detalles del ataque, ayudándole a salvaguardar sus sistemas.
Vulnerabilidad de MS Excel: Detalles de la explotación
Informes recientes han sacado a la luz que las cadenas infecciosas utilizan documentos Excel falsos. Los documentos se adjuntan a mensajes con temática de facturas y a objetivos potenciales. Una vez que un objetivo potencial abre dichos documentos maliciosos, se activa CVE-2017-11882.
Cabe mencionar aquí que se trata de una vulnerabilidad crítica con una puntuación de gravedad de 7,8. La vulnerabilidad perteneciente al editor de ecuaciones de Microsoft Office puede proporcionar ejecución remota de código de código remoto. Además, permite a los actores de amenazas tener los privilegios del usuario que abrió el archivo malicioso.
A la luz de esto, se puede afirmar que si tuvieran privilegios administrativos, podrían ser adquiridos y utilizados por los actores de amenazas si se explotan con éxito. Tales privilegios les permitirían ampliar su superficie de ataque y maximizar los daños instalando programas maliciosos, modificando o robando datos, o creando nuevas cuentas.
Zscaler ThreatLabz ha sacado a la luz los detalles de estos informes. Compartiendo sus pensamientos sobre el asunto, el investigador de seguridad Kaivalya Khursale declaró que "Una vez que un usuario descarga un archivo adjunto malicioso y lo abre, si su versión de Microsoft Excel es vulnerable, el archivo Excel inicia la comunicación con un destino malicioso y procede a descargar archivos adicionales sin requerir ninguna otra interacción del usuario."
Vulnerabilidades de Microsoft Office: La carga útil
En cuanto se abre el archivo, se activan los protocolos de explotación de la vulnerabilidad. Una vez que la vulnerabilidad de MS Excel el archivo inicia protocolos de comunicación. El objetivo de estos protocolos es descargar una serie de archivos utilizados para entregar la carga útil final. Vale la pena mencionar aquí que la primera carga útil descargada es un Visual Basic Script ofuscado.
En cuanto a exploits maliciosos Visual Basic Script se utiliza para descargar un archivo JPG incrustado con un archivo DLL codificado en Base64. Quienes deseen proteger sus sistemas contra riesgos de seguridad de datos y ciberataques a hojas de cálculo deben saber que el archivo DLL se inyecta en RegAsm.exe.
La herramienta lee esencialmente los metadatos que contiene y añade las entradas necesarias al registro. Esto garantiza que los marcos de clasificación .NET puedan crearse de forma transparente.
Los orígenes del agente Tesla
Agent Tesla es un keylogger avanzado y troyano de acceso remoto (RAT) basado en .NET. Este malware puede monitorizar las pulsaciones del teclado, realizar capturas de pantalla y robar contraseñas de diferentes aplicaciones. Una vez obtenidos los datos, Agent Tesla los envía al actor de la amenaza utilizando protocolos comunes.
El malware apareció por primera vez en 2014 y se anunciaba en un sitio web turco. En sus orígenes, Agent Tesla se presentaba como una herramienta de acceso remoto que los clientes podían utilizar para supervisar sus ordenadores personales. Tras pasar por varios cambios a lo largo de los años, centrados principalmente en superar los análisis antivirus, ahora se anuncia para robar credenciales de más de 55 aplicaciones.
El uso del Agente Tesla por parte de los actores de amenazas se hizo más común a finales de 2020 y principios de 2021, durante Covid-19. Cabe mencionar que en esa época se observó una tendencia similar a la actividad maliciosa que prevalece en la actualidad. Los actores de amenazas habían utilizado documentos de Office con macros y archivos .rtf maliciosos para explotar CVE-2017-11882 y descargar y ejecutar Agent Tesla.
Buenas prácticas de ciberseguridad para Excel
En noticias recientes se han mencionado explícitamente mejores prácticas de ciberseguridad para Excel que se puedan utilizar para protegerse contra la vulnerabilidad de MS Excel explotada para la ejecución del Agente Tesla.
Compartiendo su sobre el malware de phishingKhursale ha afirmado que "Los actores de amenazas adaptan constantemente los métodos de infección, por lo que es imperativo que las organizaciones se mantengan actualizadas sobre la evolución de las ciberamenazas para salvaguardar su panorama digital."
Esto, junto con la vulnerabilidad de MS Excel que se utiliza a distancia, subraya la necesidad de estrategias de seguridad sólidas por parte de quienes utilizan MS Office. Además, los usuarios también deben abstenerse de descargar y acceder a archivos de fuentes desconocidas.
Además, familiarizarse con las técnicas de phishing utilizadas por los actores de amenazas puede ayudar a garantizar la protección contra ciberataques a hojas de cálculo, riesgos para la seguridad de los datosy otras amenazas en línea.
Conclusión
Los actores de amenazas han empezado a utilizar recientemente una vulnerabilidad de MS Excel para propagar el Agente Tesla. Una vez descargado, este malware que roba información puede causar graves daños a las víctimas. Además, los actores de amenazas también están adaptando los métodos de infección, lo que hace necesario que los usuarios individuales y las organizaciones utilicen medidas proactivas de ciberseguridad para contrarrestar estas amenazas y mejorar su seguridad.
Las fuentes de este artículo incluyen artículos en The Hacker News y TechRadar.