Desde que foi descoberto em setembro, o FortiGuard Labs bloqueou o malware, fornecendo assinaturas antivírus e regras de prevenção de invasões (IPS) para proteção, acrescentaram os pesquisadores.
O ataque usa bugs antigos do MS Word
Segundo os pesquisadores, a campanha utilizou duas falhas do Microsoft Office, descobertas e corrigidas em 2017, que permitiam a execução remota de código nos programas visados.
O CVE 2017-0199 afeta o Microsoft Office e o Windows, permitindo a execução remota de código por meio de arquivos RTF mal elaborados, que geralmente são entregues por meio de e-mails de phishing. Depois de abertos, os arquivos podem ser baixados e usados para uploads de HTA para comprometer o sistema. Com uma pontuação CVSS de 7,8, representa um alto risco, exigindo pouca interação do usuário para ser explorado. .
