Entre os dados fornecidos pelo ESET Threat Report do segundo semestre de 2023, há um que já era esperado. Estamos falando do trojan Win/Exploit.CVE-2017-11882, uma detecção que se refere ao exploit que explora uma vulnerabilidade no Microsoft Office 2017 e é utilizado por cibercriminosos para distribuir diferentes tipos de malware, como o Agent Tesla e outros trojans de acesso remoto. De acordo com o relatório, essa foi a principal detecção maliciosa através de e-mails na América Latina durante o segundo semestre do ano passado.

Observação: um exploit é um código que tira proveito de uma vulnerabilidade ou falha de segurança em um aplicativo ou sistema e geralmente é usado como uma chave para obter acesso aos sistemas da vítima e realizar outra ação criminosa. Por exemplo, o download de malware.

Ao longo deste artigo, veremos as principais características dessa ameaça e exemplos de alguns e-mails recentes nos quais foi detectada a presença desse exploit, que é utilizado para distribuir diferentes tipos de malware. Além disso, também analisaremos a preocupação de que uma vulnerabilidade que poderia ser corrigida com atualizações de segurança ainda esteja presente tantos anos depois.

O que é o Win/Exploit.CVE-2017-11882?

CVE-2017-11882 é uma vulnerabilidade no editor de equações do Microsoft Office, que remonta a 2017 e ainda hoje é amplamente usada por cibercriminosos.

A detecção Win/Exploit.CVE-2017-11882 corresponde ao código do exploit que torna possível explorar a vulnerabilidade e realizar ações criminosas. Como? Baixando trojans de acesso remoto ou RATs, ransomware, mineradores de criptomoedas ou outros malwares, ou um downloader que faça isso.

O cibercriminoso cria um arquivo mal-intencionado, que é enviado principalmente por e-mail, e depois precisa fazer com que a vítima em potencial o abra. Caso ele seja aberto, se a vítima não tiver instalado o patch de segurança que corrige essa vulnerabilidade, o invasor poderá executar o código com os privilégios do usuário. Isso significa que, se a vítima tiver privilégios de administrador, o cibercriminoso poderá instalar programas ou excluir dados.

Falha mais explorada em ataques de phishing na América Latina em 2023

Várias pesquisas da ESET sobre grupos sofisticados mostram que diversos perfis de cibercriminosos têm explorado essa vulnerabilidade em ataques. Sendo uma vulnerabilidade que remonta a 2017 e para a qual existem correções de segurança, é surpreendente (e deve ser motivo de preocupação) que a exploração represente uma das vulnerabilidades mais relevantes durante 2023.

Isso pode ser uma consequência de vários fatores, como a falta de investimento em correções de segurança, o uso desaconselhável de software pirata ou simplesmente o desconhecimento dessa vulnerabilidade ou o pensamento equivocado de que ela não acarreta nenhum risco.

O cenário é ainda mais preocupante quando vemos algo que só confirma a tendência: em dezembro de 2022, essa vulnerabilidade também estava no topo das mais exploradas na região: mais de 20% das detecções de e-mails de phishing correspondiam à exploração dessa falha.

Se voltarmos um pouco mais no tempo, para a agora distante era da pandemia causada pela Covid-19, veremos que em 2020 essa vulnerabilidade também apareceu no topo das mais exploradas por cibercriminosos. Também em 2018, ela afetou particularmente o Peru e a Argentina, cada um com 22% das detecções na América Latina.

Ameaças distribuídas pela exploração dessa vulnerabilidade

Embora, como mencionado acima, todos os tipos de códigos maliciosos tenham sido distribuídos por meio da exploração dessa vulnerabilidade, atualmente o grande número de casos na América Latina está relacionado a trojans de acesso remoto. Na maioria dos e-mails que observamos, o arquivo malicioso é distribuído por meio de arquivos do Excel anexos.

De fato, casos recentes compartilhados na rede social X (antigo Twitter) relatam que ela foi usada para distribuir ameaças como o Agent Tesla, com o objetivo de roubar senhas de navegadores, registrar as teclas digitadas pela vítima e o conteúdo da área de transferência.

Em maio de 2023, o Laboratório de Pesquisa da ESET analisou um e-mail malicioso usando o nome "Banco Monex" - uma das principais instituições bancárias do México - cujo principal objetivo era explorar a vulnerabilidade mencionada em 2017 para carregar um payload de malware que permite que o cibercriminoso execute remotamente códigos maliciosos no sistema afetado.

Outro caso em 2023 foi o Lokibot, um malware do tipo trojan que rouba informações confidenciais de computadores comprometidos, como nomes de usuário, senhas, carteiras de criptomoedas e outros dados, que também foi distribuído por meio da exploração dessa vulnerabilidade.

E voltando um pouco mais no tempo, o Donot Team conduziu ataques ao longo de 2020 e 2021, visando órgãos governamentais e militares em vários países do sul da Ásia, explorando essa mesma vulnerabilidade. O objetivo? Executar o shellcode, que não requer interação do usuário, e implantar os principais componentes do malware.

Como você pode se proteger contra esse exploit?

A primeira (e fundamental) etapa é atualizar as soluções de ofimática e adquirir o bom hábito de manter todos os softwares e hardwares atualizados. São essas atualizações que contêm patches que corrigem as falhas de segurança que são frequentemente exploradas por cibercriminosos.

Outra ferramenta muito boa é aprender a reconhecer e-mails de phishing, seja verificando o endereço do remetente e outros elementos para determinar se uma comunicação que chega à sua caixa de entrada é falsa.

E, é claro, não é recomendável fazer download ou abrir anexos incluídos em e-mails que chegam inesperadamente e/ou não solicitados de remetentes desconhecidos, nem abrir links que possam estar incluídos nesse contexto.

Por fim, é sempre recomendável que você tenha um software antimalware instalado em seu computador e dispositivo móvel para detectar e bloquear qualquer e-mail suspeito a tempo.

Conclusão

Se uma vulnerabilidade que remonta a 2017 ainda está sendo explorada até hoje por cibercriminosos, o cenário é simples de entender: o número de empresas e usuários que não realizaram as atualizações relevantes é tão grande quanto suficiente para que cibercriminosos continuem explorando esses tipos de falhas.

É por isso que enfatizamos a importância e a necessidade de manter em dia as atualizações de segurança, tanto nos sistemas operacionais quanto nos navegadores e em qualquer tipo de aplicativo. Cabe a nós garantir que uma vulnerabilidade de 2017 não seja explorada. Estamos a apenas um clique de distância de você conseguir acabar com isso.