El troyano Asruex explota vulnerabilidades de versiones antiguas de Office y Adobe

Un grupo de investigadores descubrió una variante de Asruex que usa específicamente las viejas vulnerabilidades de Microsoft Office y Adobe para infectar sistemas.

Asruex apareció por primera vez en 2015. El troyano utilizó originalmente archivos de acceso directo maliciosos, enviados a organizaciones que descargaron un cuentagotas para la carga útil de Asruex oculta en un archivo de imagen para comprometer las redes corporativas.

El malware se ha asociado previamente con DarkHotel, un grupo avanzado de amenazas persistentes (APT) conocido por apuntar a la industria hotelera y de servicios.

Estos ciberatacantes utilizan una variedad de vectores de ataque, incluido el uso indebido de certificados robados, el uso de archivos .HTA y la infiltración de las redes Wi-Fi del hotel.

El jueves, investigadores de Trend Micro dijeron que la nueva variante Asruex, descubierta en archivos .PDF maliciosos utilizados en campañas de phishing, utiliza CVE-2012-0158 y CVE-2010-2883.

CVE-2012-0158 es un error crítico que afecta a Microsoft Office. Informado en 2012, la vulnerabilidad se puede explotar para realizar ataques de ejecución remota de código (RCE) a través de la corrupción del estado del sistema.

CVE-2010-2883, una falla de seguridad aún más antigua revelada en 2010, es un problema de desbordamiento del búfer de pila de Adobe Reader y Acrobat que se puede utilizar para ejecutar código arbitrario o causar una denegación de servicio.

Asruex explota estas vulnerabilidades para comprometer los sistemas que ejecutan versiones antiguas del software en máquinas Windows y Mac, a pesar de que los parches han estado disponibles durante años.

«Debido a esta capacidad de infección única, los investigadores de seguridad podrían no considerar la verificación de archivos para detectar una infección de Asruex y seguir vigilando exclusivamente sus capacidades de puerta trasera», dice Trend Micro.

La muestra del archivo .PDF no era, en sí misma, maliciosa, sino que era portadora de una infección de Asruex. Si se abre con una versión anterior de Reader y Acrobat, el contenido del archivo se muestra normalmente, pero el malware comenzará a ejecutarse en segundo plano. Los archivos de Word infectados también actuarán de la misma manera. Asruex también puede aparecer como un ejecutable estándar.

Una vez ejecutado en un sistema de destino, Asruex verificará los datos del sistema, incluidos los procesos en ejecución, las versiones del módulo, los nombres de archivo y ciertas cadenas en los nombres de disco para determinar si el malware se está ejecutando o no en un entorno de espacio aislado.

Si el PC pasa estas comprobaciones, se instala la puerta trasera del malware y puede comenzar el robo de datos. Asruex también se puede utilizar para la vigilancia continua y encubierta.

«Este caso es notable por el uso de vulnerabilidades que se han descubierto (y parchado) hace más de cinco años, cuando hemos visto esta variante de malware en la naturaleza durante solo un año», dice Trend Micro. «Esto sugiere que los ciberdelincuentes detrás de él habían ideado la variante sabiendo que los usuarios aún no han parcheado o actualizado a las nuevas versiones del software Adobe Acrobat y Adobe Reader».