El protocolo DDE (Intercambio Dinámico de Datos, por su significado en inglés) es explotado para ejecutar código malicioso en las computadoras de las víctimas. DDE es usado en cientos de aplicaciones, entre las cuales se encuentran Excel, Visual Basic, Quattro Pro, entre otras.
Para entrar en contexto, el protocolo DDE permite que las aplicaciones intercambien datos de manera continua. Al ser explotado, los atacantes pueden esparcir malware logrando incluso que pase desapercibido por los usuarios (vía The Hacker News).
Necurs Botnet, red con más de 6 millones de computadoras involucradas, está aprovechando esta vulnerabilidad para esparcir el ransomware Locky y el troyano bancario TrickBot. Hasta antes de esta explotación, la campaña dependía por completo de las macros.
Necurs Botnet. (c) The Hacker News
Además, el botnet ahora puede tomar capturas de pantalla de la computadora afectada, datos de telemetría e incluso obtener detalles de los errores encontrados al intentar sus actividades maliciosas, información que es retomada de manera remota por los atacantes.
También se descubrió que otra campaña esta aprovechando el fallo en el protocolo DDE para esparcir el malware Hancitor, también conocido como Chanitor y Tordal. Una vez en la computadora, instala troyanos bancarios, ransomware y malware cuya tarea es robar datos.
Campaña de Hancitor. (c) The Hacker News
Debido a que se trata de una vulnerabilidad en una característica de Microsoft Word, los antivirus son incapaces de detectar cualquier actividad extraña. Sin embargo, se deben tomar en cuenta un par de recomendaciones para protogerse frente a estos ataques.
Primero, y siempre recomendable, es que los usuarios presten atención a las fuentes de correo elctrónico, los archivos que abren y los enlaces dentro de ellos si no confían plenamente. Segundo, evitar la actualización automática de enlaces en Microsoft Word.
El usuario puede desactivar dicha característica yendo al menú Opciones > Avanzado > Actualizar enlaces automáticos al abrir, al menos hasta que Microsoft decida lanzar un parche que mitigue la vulnerabilidad.
No hay comentarios:
Publicar un comentario