Un nuevo troyano roba archivos de Microsoft Office

Share this…

Tenemos la necesidad de hablar de una nueva amenaza que está afectando a los usuarios con sistema operativo Windows en sus equipos. Se trata de un nuevo troyano que se está distribuyendo a través de páginas web hackeadas y correos electrónicos spam buscando recopilar hasta 11 tipos de archivos distintos, pertenecientes en su mayoría a la suite Microsoft Word.

Aug_1st_java.exe es el archivo con el que muchos usuarios se están encontrando en sus equipo y que es el instalador de una amenaza que por el momento posee un ratio bastante bajo detección por parte de las principales herramientas de seguridad existentes.

La primera operación a realizar tras finalizar el proceso de instalación es modificar el registro del sistema operativo Windows para ganar persistencia en el sistema y no ser vulnerable a los reinicios o apagados que se lleven a cabo en el equipo.

Aunque el troyano aún no ha sido bautizado con ningún nombre, los expertos en seguridad sí han conseguido realizar un primer análisis de la amenaza y de su comportamiento. En primer lugar decir que se hace pasar por un proceso relacionado con el navegador Google Chrome para así pasar desapercibido ante la búsqueda de los usuarios de un proceso extraño en el administrador del sistema.

También hay que decir que se estaba difundiendo haciendo uso de un dominio web, habiendo procedido ya el servicio de hosting al cierre y limpieza del mismo. Sin embargo, el servidor de control aún continúa activo y la amenaza buscará distribuirse a través de otro tipo de medios, como por ejemplo unidades USB o carpetas compartidas a través de entornos de red.

Taken from BleepingComputer.com

Microsoft Office en el punto de mira

Tal y como ya hemos indicado al comienzo, la amenaza busca sobre todo recopilar información de archivos pertenecientes a la suite ofimática Microsoft Office, de ahí que el listado de archivos sea el siguiente: NP, SQL, PDF, RTF, TXT, XLSX, XLS, PPTX, PPT, DOCX y DOC.

Una vez encontrados la finalidad de la amenaza no es otra que enviar estos al servidor remoto ya mencionado con anterioridad.

Fuente:https://www.redeszone.net/