Defecto de Microsoft Word utilizado para propagar el troyano BlackEnergy

blackenergy-trojan-1

Los atacantes que se cree que residen en Rusia han difundido un archivo troyano a través de correos electrónicos de phishing que contenían documentos maliciosos de Microsoft Word, según investigadores de seguridad de Kaspersky Lab.

El archivo malicioso supuestamente se originó a partir de la rama de campañas de malware que se lanzaron contra Ucrania en 2013, y el troyano llamado BlackEnergy será ejecutado por un script en el documento malicioso de Word. Sería difícil para los usuarios desprevenidos detectar la naturaleza maliciosa del documento porque adopta perfectamente la forma de un documento normal de Microsoft Word.

blackenergy-trojan-1

El troyano BlackEnergy está diseñado para enviar información sobre su computadora a un servidor de comando y control malicioso ejecutado por los atacantes. Sin embargo, esta no es la primera vez que los piratas informáticos se aprovechan de una vulnerabilidad en la suite de Microsoft Office. El año pasado, los piratas informáticos rusos también explotaron documentos de Microsoft Excel y Powerpoint para lanzar su campaña de malware.

Al igual que los exploits anteriores que tenían como objetivo instituciones en Ucrania, el nuevo malware de Microsoft Word se ha utilizado para atacar una estación de televisión en el país con el uso de un truco. Los investigadores de seguridad sospecharon que un empleado o alguien dentro de la estación de televisión fue atraído para hacer clic en un documento enviado a través de un correo electrónico de phishing. Según los informes, el archivo adjunto contenía información sobre un partido político en Ucrania como pretexto. De hecho, el documento contenía el troyano BlackEnergy.

Los investigadores que examinaron el documento de Microsoft Word para su análisis encontraron que el servidor que se comunicó con el archivo tiene una conexión IP limitada, aunque el comando y la conexión del servidor están en el campo de solicitud. Este campo de solicitud contenía el nombre de una estación de televisión con sede en Kiev, que Rusia anexó en 2014. También el año pasado, se informó que la red de televisión fue víctima de ataques perpetrados a través del BlackEnergy Wiper.

No es imposible que el grupo BlackEnergy cambie su enfoque en los documentos de Microsoft Word como vector de ataque porque han atacado a Ucrania en el pasado utilizando otras herramientas de Microsoft Office, según los investigadores.

Peor aún, los informes recientes decían que los ataques lanzados a través del malware BlackEnergy ahora se han extendido por los sistemas de control industrial en Ucrania. El malware depende en gran medida de una falla en Office 2013. Ahora está bastante anticuado, por lo que podemos esperar que se hayan implementado parches para la falla antes. Eso significa que las máquinas que no recibieron la solución podrían ejecutar el malware de forma remota.

El Equipo de Respuesta a Emergencias Cibernéticas del Sistema de Control Industrial de los EE. UU. También informó haber encontrado BlackEnergy en varias empresas, incluida Siemens, el año pasado, lo que sugiere la infección masiva del malware.

0 Shares