Nonostante sia una delle suite di applicazioni più aggiornate di tutte, Microsoft Office ha dalla sua delle vulnerabilità che possono compromettere la sicurezza degli utenti. Non è quindi un caso che alcuni hacker ne hanno sfruttato due per distribuire in rete il malware chiamato Felixroot.

Il malware è stato distribuito per la maggior parte in Ucraina usando un’e-mail di phishing che pretende di contenere informazioni sul seminario sulla protezione ambientale. La backdoor è stata scoperta nel 2017 ma è rimasta silente per alcuni mesi.

Il nuovo exploit è stato identificato dai ricercatori di FireEye che hanno fatto la connessione e avvisato i propri utenti di questa potenziale minaccia. Il malware sfrutta due delle vulnerabilità di Microsoft Office, ovvero CVE-2017-0199 e CVE-2017-11882.

Felixroot malware Microsoft Office

Il malware viene distribuito utilizzando un file denominato “Seminar.rtf”. Una volta dentro, il file rilascia un file binario incorporato in % temp% che viene utilizzato per eseguire il malware Felixroot.

Il download del malware crea quindi due file, un file LNK che punta a % system32% \ rundll32.exe e il componente del caricatore FELIXROOT. Il file LNK esegue quindi il componente loader di FELIXROOT e il componente backdoor completamente crittografato utilizzando la crittografia personalizzata che utilizza XOR con una chiave a 4 byte.

Una volta installato nella memoria, rimarrà silente per 10 minuti prima di cercare il comando da avviare e il collegamento con il server C&C, a cui vengono inviati segretamente i dati rubati.

Secondo FireEye, il malware utilizza l’API di Windows per ottenere il nome del computer, il nome utente, il numero di serie del volume, la versione di Windows, l’architettura del processore e due valori aggiuntivi. Una volta che questi e altri dati sono stati rubati, Felixroot si autodistrugge eliminando qualsiasi traccia della sua presenza.

Microsoft ha implementato le patch per mettere al sicuro coloro che utilizzano Microsoft Office l’anno scorso, quindi il modo migliore per proteggere i dati è mantenere tutto aggiornato.