Gli aggressori stanno sfruttando una vecchia vulnerabilità di Microsoft Office come parte di campagne di phishing per distribuire una variante di malware chiamata “Agent Tesla” con documenti Excel ingannevoli allegati a messaggi a tema fatturazione per indurre le potenziali vittime ad aprirli e attivare lo sfruttamento della vulnerabilità CVE-2017-11882.
Dettagli della Vulnerabilità e dell’Attacco
La vulnerabilità CVE-2017-11882, con un punteggio CVSS di 7.8, è un problema di corruzione della memoria nell’Editor di Equazioni di Office che potrebbe portare all’esecuzione di codice con i privilegi dell’utente. Le scoperte, provenienti da Zscaler ThreatLabz, si basano su rapporti precedenti di Fortinet FortiGuard Labs, che hanno dettagliato una campagna di phishing simile che sfruttava la falla di sicurezza per consegnare il malware.
Modalità di infezione
Una volta che un utente scarica un allegato malevolo e lo apre, se la loro versione di Microsoft Excel è vulnerabile, il file Excel inizia la comunicazione con una destinazione malevola e procede a scaricare file aggiuntivi senza richiedere ulteriori interazioni da parte dell’utente. Il primo payload è uno script Visual Basic offuscato, che avvia il download di un file JPG malevolo contenente un file DLL codificato in Base64.
Informazioni su Agent Tesla
Agent Tesla è un keylogger avanzato basato su .NET e un trojan di accesso remoto (RAT) in grado di raccogliere informazioni sensibili da host compromessi. Il malware poi comunica con un server remoto per estrarre i dati raccolti.
Consigli di Sicurezza
Per minimizzare il rischio di esposizione ai dati di pagamento, si consiglia di acquistare solo da rivenditori affidabili, utilizzare metodi di pagamento digitali o carte private monouso e proteggere i propri account con l’autenticazione a due fattori.
L’uso di vulnerabilità di sicurezza più vecchie come nuovi bersagli di attacco da parte degli attori delle minacce sottolinea l’importanza di mantenere aggiornati i sistemi e le applicazioni per proteggersi dalle minacce informatiche emergenti.