Nelle scorse ore è emerso un nuovo malware che sta utilizzando una vulnerabilità di Microsoft Office per rubare dati e file. Microsoft ha già risolto il problema da oltre un anno: basta aggiornare la nota suite di produttività.
Malware FELIXROOT
Il malware Felixroot è partito dall’Ucraina dove, diversi utenti inconsapevoli, sono stati attaccati da email di phishing. La backdoor è stata scoperta nel 2017 dai ricercatori di FireEye. Il malware sfrutta due vulnerabilità di Microsoft Office, ovvero CVE-2017-0199 e CVE-2017-11882, e viene distribuito utilizzando un file denominato “Seminar.rtf”.
Una volta avviato, il malware inserisce un eseguibile in %temp% che è usato per distribuire FELIXROOT. Verranno creati due nuovi file: il file LNK verrà memorizzato in %system32%\rundll32.exe e un altro contenente il necessario per avviare FELIXROOT. Una volta avviato, resterà a riposo per 10 minuti prima di iniziare l’invio dei dati ai server degli hacker.
Secondo FireEye, il malware utilizza le API di Windows per ottenere il nome del computer, il nome utente, il numero di serie, la versione di Windows, l’architettura del processore e due valori aggiuntivi.
Una volta che i dati vengono rubati, Felixroot interrompe il processo e cancella il programma malevolo dal computer dell’utente. Nessuno (per il momento!) è in grado di risalire al gruppo che ha predisposto l’attacco. FireEye sta ancora lavorando per cercare di capire chi si nasconde dietro questa operazione.
Microsoft ha rilasciato gli aggiornamenti già lo scorso anno. Se le aziende e gli enti privati installano regolarmente gli aggiornamenti non devono temere alcun problema. I vostri PC e tablet Windows sono aggiornati? Cosa ne pensate di questa vulnerabilità? Fatecelo sapere nei commenti.
Articolo di Windows Blog Italia
Fonte | MSPoweruser