Una función no documentada de Word deja expuestos a un ataque a los usuarios de Windows, iOS y Android

Investigadores de seguridad de Kaspersky han descubierto una nueva forma de ataque que está siendo empleada para recolectar datos de los usuarios de Microsoft Word. A diferencia de los sospechosos habituales en este tipo de actividades maliciosas, no tiene que ver con macros, ni exploits de contenido dentro de los documentos, como suele ser usual.

A través de un documento de Word que luce aparentemente inofensivo, con solo texto y un par de enlaces (nada de objetos en Flash, ni macros, ni archivos ejecutables), el atacante es capaz de aprovecharse de una función del mismo Word que no ha sido documentada antes para recoger datos sobre el ordenador de la víctima.

Los investigadores detectaron este tipo de ataques al encontrarse con campañas de spear phishing, esas estafas focalizadas por correo electrónico cuyo propósito es obtener acceso no autorizado a datos confidenciales, que contenían adjuntos que no parecían ser maliciosos inicialmente.

Word

Los emails maliciosos tenían adjunto un documento de Word con unos simples trucos para Google que lucía aparentemente limpio. Pero, usando ese documento los atacantes fueron capaces de insertar enlaces a scripts PHP de sitios maliciosos de terceros.

Cuando la persona abría el documento este era capaz de aprovecharse de una función llamada “INCLUDEPICTURE” para manipular el código y lanzar una petición a las URLs maliciosas que estaban dentro del documento. Y, de esa forma enviaban información sobre el ordenador de la víctima y su versión de Office.

Los investigadores tuvieron problemas para entender qué era lo que hacía exactamente esa función “INCLUDEPICTURE”, pues no encontraron una descripción oficial o información de cómo debería ser interpretada, pues la documentación de Microsoft Office no incluye ninguna descripción de ella.

La función se encuentra en Microsoft Word para Windows, iOS y Android. Si algún usuario de esos sistemas abre el documento malicioso en su dispositivo, se hará la llamada al enlace malicioso, se recogerán sus datos y se entrará en una posible lista para futuros ataques focalizados.

Fuente | Kaspersky Lab Securelist
En Genbeta | Un nuevo malware en Office te infecta con solo pasar el mouse por encima de un enlace en PowerPoint

Temas

Loading...