Un nuevo troyano aprovecha Word para descubrir información sensible
Está circulando un troyano que ataca a los usuarios del software de procesamiento de texto Word aprovechando una vulnerabilidad en el programa todavía no parcheada. McAfee advirtió el jueves pasado sobre el nuevo troyano, bautizado con el nombre de BackDoor-CKB!cfaae1e6 y que actúa instalando secretamente software en el ordenador de la víctima.
Para conseguirlo, sin embargo, los hackers deben antes lograr que el usuario abra un documento de Word maleado. Una vez dado este paso, los resultados pueden ser devastador. A diferencia de virus y gusanos, los troyanos no se replican realizando copias de sí mismos que favorecen la expansión automática y progresiva del mal por Internet.
Pero, una vez instalado en el ordenador de la víctima, Back-Door-CKB!cfaae1e6 permite a los hackers ejecutar cualquier comando externo, descargando troyanos adicionales, realizando capturas de pantalla de los sistemas de sobremesa, y descubriendo y almacenando pulsaciones de teclado o contraseñas.
Symantec ha confirmado que los hackers están haciendo circular el nuevo malware utilizando documentos World adjuntos a correos electrónicos. Sin embargo, de momento, según un documento emitido por esta empresa de seguridad en su servicio de análisis de amenazas DeepSight, su uso está “limitado a ataques contra objetivos muy seleccionados”.
Los ataques se originaron en Asia y se dirigen a “grandes organizaciones muy específicas”, de acuerdo con las informaciones facilitadas por Symantec, que añade que se trata de las mismas empresas en las que en el pasado los hackers intentaron aprovechar algunas vulnerabilidades de Office.
Los atacantes podrían estar operando desde China o Taiwan, según Johannes Ullrich, CTO (Chief Technical Officer) de SANS Internet Storm Center. Se ha seguido la pista de los servidores asociados al troyano hasta estos países, y los investigadores han encontrado caracteres chinos en los documentos Word creados como cebo.
Según, Microsoft, la vulnerabilidad afecta a Microsoft Word XP y Word 2003. Los ordenadores que utilicen World Viewer -que permite leer documentos World sin instalar el programa- para visualizar documentos se encuentran a salvo. Actualmente, el fabricante está desarrollando un parche para el problema que espera publicar en su próxima actualización de seguridad (13 de junio). http://vil.mcafeesecurity.com/vil/content/v_139539.htm
http://isc.sans.org/diary.php?date=2006-05-18
Pero, una vez instalado en el ordenador de la víctima, Back-Door-CKB!cfaae1e6 permite a los hackers ejecutar cualquier comando externo, descargando troyanos adicionales, realizando capturas de pantalla de los sistemas de sobremesa, y descubriendo y almacenando pulsaciones de teclado o contraseñas.
Symantec ha confirmado que los hackers están haciendo circular el nuevo malware utilizando documentos World adjuntos a correos electrónicos. Sin embargo, de momento, según un documento emitido por esta empresa de seguridad en su servicio de análisis de amenazas DeepSight, su uso está “limitado a ataques contra objetivos muy seleccionados”.
Los ataques se originaron en Asia y se dirigen a “grandes organizaciones muy específicas”, de acuerdo con las informaciones facilitadas por Symantec, que añade que se trata de las mismas empresas en las que en el pasado los hackers intentaron aprovechar algunas vulnerabilidades de Office.
Los atacantes podrían estar operando desde China o Taiwan, según Johannes Ullrich, CTO (Chief Technical Officer) de SANS Internet Storm Center. Se ha seguido la pista de los servidores asociados al troyano hasta estos países, y los investigadores han encontrado caracteres chinos en los documentos Word creados como cebo.
Según, Microsoft, la vulnerabilidad afecta a Microsoft Word XP y Word 2003. Los ordenadores que utilicen World Viewer -que permite leer documentos World sin instalar el programa- para visualizar documentos se encuentran a salvo. Actualmente, el fabricante está desarrollando un parche para el problema que espera publicar en su próxima actualización de seguridad (13 de junio). http://vil.mcafeesecurity.com/vil/content/v_139539.htm
http://isc.sans.org/diary.php?date=2006-05-18
