El malware FormBook se aprovecha de un nuevo 0day en Office 365 Hispasec @unaaldia

Se ha descubierto una nueva versión del malware Formbook, la cual aprovecha una nueva vulnerabilidad 0day en Office 365.

La versión actualizada de FormBook

Durante mucho tiempo, FormBook ha hecho uso de la vulnerabilidad CVE-2017-0199, pero según nuevos estudios el malware está haciendo uso del CVE-2021-40444

Flujo del malware

Esta campaña hace uso de un documento word malicioso adjunto, el cual mediante dos capas de powershell despliega el malware.

  • La primera etapa descarga la segunda, que se almacena como un archivo adjunto en Discord, para evitar protecciones de red
  • En la siguiente etapa se descarga desde Discord (usando una URL ofuscada) , este archivo es formateado en Base64
  • Por último, se descarga la última versión, la cual es similar a la usada en campañas pasadas, se identifica como FormBook versión 4.1

Conclusión

Las vulnerabilidades 0day son populares entre los malware mas conocidos, lo que deriva en graves problemas de seguridad, estos ataques son, por su forma, irremediables en su mayoría aunque no por ello se deben obviar.

<!–
–>
Fuente obtenida de: https://unaaldia.hispasec.com/2021/10/el-malware-formbook-se-aprovecha-de-un-nuevo-0day-en-office-365.html

Compartelo en las redes sociales

Compartir en facebook Compartir en google+ Compartir en twitter Compartir en pinterest Compartir en likedin Compartir en WhatsApp

Sobre Kamal Majaiti 1537 artículos
Administrador de sistemas e informático por vocación.

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*


Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.