La compañía de ciberseguridad ESET alerta a la población mexicana sobre una campaña maliciosa que se distribuye a través de correo electrónico, cuyo objetivo es engañar a las personas para que abran una página web enviada como como archivo HTML adjunto con el nombre de “pagos.html”.
En este correo, los atacantes indican a las potenciales víctimas que envían como adjunto el comprobante de pago de una operación que supuestamente se realizó a través de “Banco Monex”, uno de los principales actores del sector financiero en el país.
Al abrir el HTML “pagos” la víctima descargará automáticamente un archivo ZIP con el nombre “COTIZACION ARTICULOS DE OFICINA PARA PRODUCCION.zip” que al ser descomprimido contiene un documento de Microsoft Word con el mismo nombre.
Los especialistas de ESET señalan que al abrir el documento Word la persona se encontrará con una hoja repleta de lo que parece ser contenido sin sentido (letras y números). Sin embargo, desencadena la ejecución del exploit para la vulnerabilidad CVE-2017-11882, que llama al editor de ecuaciones EQNEDT32.EXE para cargar el payload de un malware que puede permitir a un el cibercriminal ejecutar código malicioso de forma remota en un sistema afectado.
La explotación de esta vulnerabilidad a través de EQNEDT32.EXE involucra la creación de un archivo especialmente diseñado por parte de los atacantes que una vez abierto en una versión vulnerable de Office, desencadena un desbordamiento de búfer (bufer overflow). Este desbordamiento de búfer permite a un atacante ejecutar código malicioso en el contexto del usuario actual, lo que podría derivar en el control total del sistema por parte del atacante.
Cabe desatacar que la CVE-2017-11882 fue una de la vulnerabilidades con mayor cantidad de detecciones en América Latina durante 2022 según los datos de la telemetría de ESET, por lo que no es una sorpresa que los cibercriminales encargados de desplegar esta campaña estén intentando explotarla.
¿Por qué los cibercriminales siguen insistiendo en explotar una vulnerabilidad como esta que fue reportada hace varios años? La respuesta es sencilla: lamentablemente el volumen de empresas y usuarios que no realizan las actualizaciones necesarias es suficiente para que los cibercriminales sigan considerando que explotarla que es rentable para su negocio. El hecho de que esta vulnerabilidad haya sido parcheada por Microsoft en abril de 2017 demuestra que muchas empresas y usuarios no están tomando con la debida seriedad la seguridad y esto los expone a este tipo de amenazas.
Los especialistas de ESET recomiendan actualizar las soluciones de ofimática. Además de tener presente la importancia de mantener actualizado todo software y hardware en lo que respecta a seguridad, ya que estas actualizaciones contienen parches que corrigen nuevos fallos de seguridad que pueden ser aprovechados por los cibercriminales.
Por otro lado, es fundamental aprender a reconocer correos legítimos y adquirir el hábito de verificar la dirección del remitente y otros elementos para determinar si una comunicación que llega a la bandeja de entrada es falsa.
En este sentido, se recomienda no descargar ni abrir archivos adjuntos incluidos en correos que llegan de manera inesperada y/o no solicitada de parte de remitentes desconocidos y tampoco abrir enlaces que pueden ser incluidos en este contexto.
Por último, se recomienda utilizar tanto en la computadora como en el dispositivo móvil un software antimalware que detecte y bloquee cualquier correo sospechoso a tiempo.
Estos son algunos de los indicadores de compromiso detectados por ESET:
- BE4EF2CF556559F859CD5C07FBDC986007D3E2FE – COTIZACION ARTICULOS DE OFICINA PARA PRODUCCION.zip – Win32/Exploit.CVE-2017-11882.BOR
- 8A95A1165EE5B9DBDE012D1BB2B7DB6330938B0E – COTIZACION ARTICULOS DE OFICINA PARA PRODUCCION.doc – WIN32/Exploit.CVE-2017-11882.BOR
- e54c0530a6d4370d3d9d8678cef614fa2b134934 – Pagos.html – JS/TtrojanDropper.Agent.PDF