Este troyano puede infectar tu PC por una vulnerabilidad en PowerPoint

Escrito por Rubén Velasco
Seguridad

Las presentaciones de diapositivas, conocidas como PowerPoint, han sido, junto a los documentos DOC, unas de las más utilizadas para distribuir malware a través del correo electrónico. Aunque ya no se envían tantas presentaciones a través de Internet, los piratas informáticos aún siguen buscando nuevas formas de llevar a cabo sus campañas maliciosas e infectar al mayor número de usuarios posible, y una de las técnicas más recientes utilizada es aprovechándose de la vulnerabilidad CVE-2017-0199.

El fallo de seguridad CVE-2017-0199 fue detectado (y corregido) por Microsoft el pasado mes de abril. Este fallo se encontraba en el componente Windows Object Linking and Embedding (OLE) de la suite ofimática Microsoft Office y permitía a los piratas informáticos ejecutar código remoto en los sistemas vulnerables.

Expertos de seguridad de Trend Micro confirman haber encontrado el primer troyano que se aprovecha de esta vulnerabilidad en Office para infectar a los usuarios con malware más avanzado. Este troyano llega a través de correo electrónico como un archivo de diapositivas PowerPoint que, al ejecutarlo, ejecuta el troyano, quien descarga un archivo DOC del servidor de control remoto que, al abrirlo, descarga el troyano RATMAN que brinda al pirata informático permisos de ejecución remota de código en el sistema afectado.

Captura Wireshark troyano RATMAN PowerPoint

Este documento muestra en una de las páginas el código “CVE-2017-8570”, lo que significa que los piratas informáticos detrás de esta campaña maliciosa son, probablemente, los mismos que han explotado esta otra vulnerabilidad en el pasado y que, al crear este nuevo documento, se han olvidado de cambiar el código de la vulnerabilidad.

Una vez que RATMAN (una variable del troyano REMCOS) infecta el ordenador, los piratas informáticos tienen control absoluto sobre él, pudiendo desde instalar otras piezas de malware más complejas hasta robar cualquier fichero o información del ordenador o utilizarlo para llevar a cabo otros ataques, como ataques DDoS.

Cómo protegernos de la vulnerabilidad CVE-2017-0199 de PowerPoint

Igual que en la mayoría de las ocasiones, la mejor forma de protegernos de este fallo de seguridad es evitando descargar y abrir presentaciones PowerPoint que nos lleguen a través del correo electrónico, especialmente si no conocemos o no confiamos en emisor.

Además, como hemos dicho, Microsoft solucionó esta vulnerabilidad el pasado mes de abril, aunque, como no estaba siendo explotada por ningún pirata informático, no se la dio mucha importancia. Si hemos instalado los últimos parches de seguridad de Office (que fueron lanzados en julio de 2017), este malware no podrá aprovecharse de esta vulnerabilidad. De todas formas, debido a la gran cantidad de usuarios que utilizan Office de forma ilegal, hay un gran número de usuarios que no instalan estas actualizaciones, por lo que están comprometidos y expuestos a esta grave vulnerabilidades.

Por último, un software antivirus actualizado también nos ayudará a evitar que este troyano infecte nuestro ordenador al detectar la amenaza antes de ejecutarse en el ordenador.

¿Qué opinas sobre esta campaña maliciosa?

Fuente > Trend Micro

Compártelo. ¡Gracias!
Continúa leyendo