windows-10-1535765_640.jpg

Hackers usam o ActiveX RDP do Windows 10 para executar o TrickBot

Da Redação
02/03/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Malware Ostap é entregue por meio de um documento do Word associado a um código de macro malicioso e inclui uma imagem que supostamente mostra conteúdo criptografado

windows-10-1535765_640.jpg

Um grupo de hackers está usando o Remote Desktop ActiveX da área de trabalho nos documentos do Word para executar automaticamente no Windows 10 o download do malware chamado Ostap, que foi visto recentemente adotado pelo trojan TrickBot para sua disseminação.

Pesquisadores de segurança descobriram dezenas de arquivos que disseminaram a primeira carga do malware, indicando uma campanha maior. O Ostap, extensivamente analisado pelos pesquisadores da empresa de segurança Bromium, é entregue por meio de um documento do Word associado a um código de macro malicioso e inclui uma imagem que supostamente mostra conteúdo criptografado. Esse é o truque para convencer as vítimas a habilitar macros no documento.

O agente da ameaça entregou os documentos maliciosos através de e-mails de phishing disfarçados de notificações de falta de pagamento. No anexo está a fatura falsa mencionada na mensagem. Pesquisadores de segurança da Morphisec analisaram os documentos e notaram que havia um controle ActiveX escondido abaixo da imagem incorporada.

Uma análise mais detalhada revelou que o agente de ameaça usou a classe MsRdpClient10NotSafeForScripting, usada para controle remoto. O Windows 10 é o sistema suportado e o Windows Server 2016, o servidor. Os controles ActiveX podem ser adicionados ao texto ou às camadas de desenho nos documentos do Word para torná-los interativos.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest