El malware FormBook se aprovecha de un nuevo 0day en Office 365

Se ha descubierto una nueva versión del malware Formbook, la cual aprovecha una nueva vulnerabilidad 0day en Office 365.

La versión actualizada de FormBook

Durante mucho tiempo, FormBook ha hecho uso de la vulnerabilidad CVE-2017-0199, pero según nuevos estudios el malware está haciendo uso del CVE-2021-40444

Flujo del malware

Esta campaña hace uso de un documento word malicioso adjunto, el cual mediante dos capas de powershell despliega el malware.

  • La primera etapa descarga la segunda, que se almacena como un archivo adjunto en Discord, para evitar protecciones de red
  • En la siguiente etapa se descarga desde Discord (usando una URL ofuscada) , este archivo es formateado en Base64
  • Por último, se descarga la última versión, la cual es similar a la usada en campañas pasadas, se identifica como FormBook versión 4.1

Conclusión

Las vulnerabilidades 0day son populares entre los malware mas conocidos, lo que deriva en graves problemas de seguridad, estos ataques son, por su forma, irremediables en su mayoría aunque no por ello se deben obviar.

FUENTE:

Comments are closed.