Se trata de una grave campaña de phishing dirigida a usuarios de Windows. Los atacantes envían correos electrónicos con archivos adjuntos de Excel maliciosos que aprovechan la vulnerabilidad CVE-2017-0199 para implementar el malware FormBook. El proceso de ataque consiste en distribuir archivos de Excel maliciosos a través de correos electrónicos de phishing y aprovechar CVE-2017-0199 para descargar y ejecutar archivos HTA maliciosos. El archivo HTA descarga y ejecuta “sihost.exe”, que a su vez extrae “springmaker”. Finalmente, el archivo “springmaker” se decodifica en el malware FormBook. Todo el proceso se muestra en la Figura 14. Este ataque tiene como objetivo tomar el control de los dispositivos de las víctimas y robar información confidencial, lo que representa una amenaza significativa.
¿Qué es CVE-2017-0199?
Es una vulnerabilidad crítica en versiones antiguas de Microsoft Office (2007 a 2016) relacionada con la función OLE (Object Linking and Embedding). Esta falla permite que, al abrir un documento malicioso, se descargue y ejecute un archivo HTA (HTML Application) desde un servidor remoto sin intervención del usuario, utilizando la aplicación mshta.exe.
¿Cómo se inicia el ataque?
La campaña comienza con un correo electrónico de phishing que aparenta ser una orden de compra. Este correo contiene un archivo de Excel adjunto que, al ser abierto en una versión vulnerable de Office, activa la explotación de la vulnerabilidad.
¿Qué ocurre tras abrir el archivo?
- El archivo de Excel contiene un objeto OLE que apunta a una URL maliciosa.
- Al abrir el archivo, se realiza una solicitud HTTP para descargar un archivo HTA.
- Este archivo HTA contiene código en Base64 que, al decodificarse, descarga y ejecuta el malware FormBook en el directorio %APPDATA%.
¿Qué es FormBook?
FormBook es un malware tipo “infostealer” que se comercializa como “malware-as-a-service” desde 2016. Está diseñado para robar información sensible del dispositivo de la víctima, incluyendo:
- Credenciales almacenadas en navegadores.
- Capturas de teclado (keylogging).
- Contenido del portapapeles.
- Datos de clientes de correo, FTP y VPN.
- Además, utiliza técnicas de ofuscación y anti-análisis para evitar su detección y análisis por parte de soluciones de seguridad.fortinet.com
¿Por qué sigue siendo efectiva esta vulnerabilidad?
Aunque CVE-2017-0199 fue parcheada hace años, muchos sistemas aún no han aplicado las actualizaciones necesarias. Esto se debe a factores como:
- Uso de software desactualizado.
- Equipos de TI sobrecargados.
- Negligencia organizacional.
- Falta de competencias técnicas.
Estas deficiencias permiten que los atacantes sigan explotando vulnerabilidades conocidas para comprometer sistemas.
Recomendaciones de seguridad
- Actualizar Microsoft Office: Asegúrate de tener la última versión y aplicar todos los parches de seguridad disponibles.
- Implementar soluciones de seguridad avanzadas: Utiliza herramientas como FortiEDR para detectar y bloquear comportamientos maliciosos.
- Capacitación en ciberseguridad: Educa a los usuarios sobre los riesgos del phishing y la importancia de no abrir archivos adjuntos de fuentes desconocidas.
- Revisión de políticas de seguridad: Establece políticas estrictas para la gestión de correos electrónicos y la ejecución de macros en documentos.
