Malware Ostap é entregue por meio de um documento do Word associado a um código de macro malicioso e inclui uma imagem que supostamente mostra conteúdo criptografado
Um grupo de hackers está usando o Remote Desktop ActiveX da área de trabalho nos documentos do Word para executar automaticamente no Windows 10 o download do malware chamado Ostap, que foi visto recentemente adotado pelo trojan TrickBot para sua disseminação.
Pesquisadores de segurança descobriram dezenas de arquivos que disseminaram a primeira carga do malware, indicando uma campanha maior. O Ostap, extensivamente analisado pelos pesquisadores da empresa de segurança Bromium, é entregue por meio de um documento do Word associado a um código de macro malicioso e inclui uma imagem que supostamente mostra conteúdo criptografado. Esse é o truque para convencer as vítimas a habilitar macros no documento.
O agente da ameaça entregou os documentos maliciosos através de e-mails de phishing disfarçados de notificações de falta de pagamento. No anexo está a fatura falsa mencionada na mensagem. Pesquisadores de segurança da Morphisec analisaram os documentos e notaram que havia um controle ActiveX escondido abaixo da imagem incorporada.
Uma análise mais detalhada revelou que o agente de ameaça usou a classe MsRdpClient10NotSafeForScripting, usada para controle remoto. O Windows 10 é o sistema suportado e o Windows Server 2016, o servidor. Os controles ActiveX podem ser adicionados ao texto ou às camadas de desenho nos documentos do Word para torná-los interativos.
