Descubren una puerta de entrada para hackers en Microsoft Word

La infección del equipo se produce a través de un archivo malicioso de texto enriquecido, que el usuario abre mediante Microsoft Word. Una vez sucede esto, el programa Word lanza un proceso denominado 'schvost' con el que abre el Editor de Ecuaciones de Microsoft, un programa que crea ecuaciones matemáticas dentro de los documentos de Word, y que no debería hacer nada más en circunstancias normales

Entre sus capacidades incluye el robo de credenciales de inicio de sesión del usuario a través de Google Chrome, Mozilla Firefox, Microsoft Outlook y otros, con capturas de pantalla, grabación de webcams e instalación de malware adicional en los equipos infectados.

Sin embargo, una vez se abre el Editor de Ecuaciones en el documento infectado, el actor malicioso AgentTesla lo mantiene en funcionamiento y lanzando archivos ejecutables.

'Schvost.exe', que tiene un nombre muy similar al del proceso schvost del Editor de Ecuaciones, logra establecer una conexión con el servidor de Comando y Control del ciberatacante, lo cual le permitiría infectar el ordenador.

Según recoge el comunicado de Checkpoint es importante la «combinación de protecciones avanzadas contra amenazas, múltiples capas de seguridad avanzada y métodos automatizados de ingeniería inversa» presentes en el motor Threat Emulation de una de sus soluciones de seguridad, denominada SandBlast Zero-Day Protection