Los hackers fueron hackeados

Estándar

El notorio grupo de hackers OurMine es conocido por irrumpir en las cuentas de redes sociales de ejecutivos de alto perfil de grandes compañías, entre sus víctimas podemos contar al CEO de Facebook, Mark Zuckerberg, el CEO de Twitter, Jack Dorsey, el CEO de Google, Sundar Pichai, HBO, Game of Thrones y PlayStation Network de Sony (PSN).

De acuerdo con las capturas de pantalla que circulan en Twitter, el sitio web oficial de WikiLeaks habría sido defaced por el grupo de hacking OurMine, que dejó un mensaje en el sitio, como se muestra a continuación:

WikiLeaks es un sitio web de denuncias que desde marzo ha revelado los secretos más importantes de la CIA a tavés de la ya mítica filtración Vault 7, incluyendo la capacidad de la agencia para entrar en diferentes plataformas móviles y de escritorio, cámaras de seguridad, streaming de vídeo en vivo y muchos más.

No hay indicación de que los servidores WikiLeaks o el propio sitio web haya sido comprometida, en su lugar, parece que el hackeao ha sido a través de redirir el nombre de dominio a un servidor controlado por los hackers mediante el ataque de envenenamiento DNS.

En el ataque de envenenamiento de DNS, también conocido como spoofing de DNS, un atacante obtiene el control del servidor DNS y cambia el valor de los servidores de nombres para desviar el tráfico de Internet a una dirección IP maliciosa.

Poco después del hackeo, los administradores del sitio recuperaron el acceso a su servidor DNS y en el momento de escribir este informe, el sitio web de WikiLeaks está de nuevo en línea desde sus servidores oficiales legítimos.

OurMine es un grupo de hackers de Arabia Saudita que afirma ser una firma de seguridad de “sombrero blanco”.

El grupo se promociona tomando el control de cuentas de redes sociales de alto nivel y luego los anima a contactar al grupo de hackers para comprar su servicio de seguridad de Tecnologías de la Información en un esfuerzo por protegerse de futuros ataques cibernéticos.

Se descubren 711 millones en base de datos de un spambot

Estándar

Un enorme spambot que tenía 711 millones de cuentas de correo electrónico en su base de datos ha sido descubierto, según reporta ZDNet. Un investigador de seguridad con sede en París, que es conocido por el pseudónimo de Benkow, descubrió un servidor web abierto y accesible alojado en los Países Bajos, que almacena docenas de archivos de texto que contienen un gran lote de direcciones de correo electrónico, contraseñas y servidores de correo electrónico para enviar spam . Esas credenciales son cruciales para que la operación de malware a gran escala del spammer elimine los filtros de spam enviando correo electrónico a través de servidores de correo electrónico legítimos.

El spambot, apodado “Onliner“, se usa para entregar el malware bancario Ursnif en direcciones de correo electrónico de todo el mundo. Hasta la fecha, resultó en más de 100,000 infecciones únicas en todo el mundo, dijo Benkow a ZDNet. Troy Hunt, que ejecuta el sitio de notificación de infracción Have I Been Pwned, dijo que era una “cantidad incomprensible de datos“. Hunt, quien analizó los datos y detalla sus hallazgos en un blog, lo llamó el “mayor” lote de datos para ingresar al sitio de notificación de violación en su historia … Esas credenciales, explicó, han sido obtenidas y recopiladas de otros ataques a sitios web como el hack de LinkedIn y el hack de Badoo, así como otras fuentes desconocidas.

Las credenciales descubiertas incluyen información sobre 80 millones de servidores de correo electrónico y todo se utiliza para identificar qué destinatarios tienen equipos con Windows, por lo que pueden orientarse los ataques por correos electrónicos de manera específica para los usuarios que usen Windows.

No está demás cambiar los password de todas sus cuentas de correo electrónico, sólo para estar seguros. Si desea saber si su correo electrónico ha sido comprometido puede verificarlo aquí:

https://haveibeenpwned.com/

La primera botnet de Android se llama WireX

Estándar

Un equipo de investigadores de seguridad de varias empresas de seguridad han descubierto una nueva y generalizada botnet que consiste en decenas de miles de smartphone Android hackeados.

Conocida como WireX, esta botnet incluye principalmente dispositivos Android infectados que ejecutan una de las cientos de aplicaciones maliciosas instaladas desde Google Play Store y está diseñado para realizar ataques masivos de DDoS desde la capa de aplicación.

Los investigadores de diferentes compañías de tecnología y seguridad en Internet que incluye Akamai, CloudFlare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru detectaron una serie de ataques cibernéticos a principios de este mes y colaboraron para combatirlo.

Cloudflare en su blog ha hecho una descripción detallada de cómo opera esta botnet y como ha podido ser identificado.

Aunque las campañas de malware de Android son bastante comunes en estos días, esta campaña recién descubierta no es tan sofisticada, y es bastante impresionante la forma como varias empresas de seguridad que son competidores entre sí se unieron y compartieron información para eliminar esta nueva botnet.

La botnet WireX se utilizó para lanzar ataques DDoS menores a principios de este mes, pero después de mediados de agosto, los ataques comenzaron a escalar rápidamente como se muestra en el diagrama a continuación (fuerte: Cloudflare):

La botnet de “WireX” ya había infectado más de 120,000 smartphones Android en su apogeo a principios de este mes, pero el 17 de agosto los investigadores notaron un ataque masivo DDoS (principalmente solicitudes HTTP GET) y que tuvo su origen en más de 70,000 dispositivos móviles infectados de más de 100 países.

Si su sitio web ha sufrido un ataque DDoS, busque el siguiente patrón de cadenas User-Agent para comprobar si se trata de la botnet WireX:

User-Agent: jigpuzbcomkenhvladtwysqfxr
User-Agent: yudjmikcvzoqwsbflghtxpanre
User-Agent: mckvhaflwzbderiysoguxnqtpj
User-Agent: deogjvtynmcxzwfsbahirukqpl
User-Agent: fdmjczoeyarnuqkbgtlivsxhwp
User-Agent: yczfxlrenuqtwmavhojpigkdsb
User-Agent: dnlseufokcgvmajqzpbtrwyxih  

 

Después de una investigación más profunda, los investigadores de seguridad identificaron más de 300 aplicaciones maliciosas en el Play Store oficial de Google, muchas de las cuales supuestamente eran reproductores de video, ringtones o herramientas para administradores de almacenamiento y tiendas de aplicaciones que incluyen el código malicioso de WireX.

Al igual que muchas aplicaciones maliciosas, las aplicaciones WireX no actúan maliciosamente inmediatamente después de la instalación para evitar la detección y abrirse paso en el Google Play Store.

En cambio, las aplicaciones WireX esperan pacientemente los comandos de sus servidores de comando y control ubicados en varios subdominios, principalmente de “g.axclick.store“.

Google ha identificado y ya ha bloqueado la mayoría de las 300 aplicaciones de WireX, que en su mayoría fueron descargadas por usuarios de Rusia, China y otros países asiáticos, aunque la botnet WireX sigue siendo activa a pequeña escala.

Si su dispositivo está ejecutando la más reciente versión del sistema operativo Android que incluye la función Google Play Protect, la compañía eliminará automáticamente las aplicaciones WireX de su dispositivo, si tiene alguna instalada.

Play Protect es la nueva funcionalidad de seguridad de Google, que utiliza el aprendizaje de las máquinas y el análisis del uso de las aplicaciones para eliminar (desinstalar) aplicaciones maliciosas de los usuarios con smartphones Android para evitar más daños.

Además, es muy recomendable instalar aplicaciones de desarrolladores de reputación y verificados, incluso al descargar desde Google Play Store oficial y evitar la instalación de aplicaciones innecesarias.

Además, se recomienda que  se tenga instalado siempre una buena aplicación antivirus en su dispositivo móvil que pueda detectar y bloquear aplicaciones malintencionadas antes de que puedan infectar su dispositivo y mantenga siempre el dispositivo y las aplicaciones actualizados.

El malware de Android continúa evolucionando con vectores de infección y capacidades de ataque más sofisticados y nunca antes vistos con cada día que pasa.

Existe un App que permite crear ransomware

Estándar

Los investigadores de la firma de seguridad informática Symantec han hecho público a través de su blog oficial que algunas aplicaciones para Android están disponibles ya sea en foros de hacking o por medio de anuncios en un servicio de mensajería de una popular red social en China, que permite a cualquier hacker wannabe descargargar y utilizar kits de desarrollo de troyanos (TDK).

Con una interfaz muy fácil de usar, estas aplicaciones no son diferentes de cualquier otra aplicación de Android aparte del hecho de que permiten a los usuarios crear su malware móvil personalizado con poco o ningún conocimiento de programación.

Para crear el ransomware personalizado, los usuarios pueden descargar una aplicación de este tipo (por una razón obvia, no estamos compartiendo los enlaces), instalarlo y abrirlo, donde ofrece elegir entre las siguientes opciones, que se muestran en el formulario en pantalla de la aplicación:

  • El mensaje que se mostrará en la pantalla bloqueada del dispositivo infectado
  • La clave que se utilizará para desbloquear ese dispositivo infectado
  • El icono para ser utilizado por su malware
  • Operaciones matemáticas personalizadas para aleatorizar el código
  • Tipo de animación que se mostrará en el dispositivo infectado

Una vez que toda la información ha sido llenada, los usuarios sólo necesitan presionar el botón “Crear”.

Si el usuario no lo ha hecho antes, la aplicación le pedirá que se suscriba al servicio antes de continuar. La aplicación permite al usuario iniciar un chat en línea con el desarrollador de la misma donde él o ella pueden arreglar el pago del servicio por única vez.

Una vez realizado el pago, el malware es creado y se almacena en el almacenamiento externo en estado de listo para ser enviado a las víctimas y luego el usuario puede continuar con el proceso, haciendo tantas apps maliciosas como víctimas el usuario pueda conseguir.

Aquellas personsa que sean las desafortunadas víctimas de estas apps maliciosas terminan con un dispositivo bloqueado que exige un rescate para ser liberado. El malware creado con este proceso de automatización sigue el típico comportamiento Lockdroid de bloquear la pantalla del dispositivo con SYSTEM_ALERT_WINDOW y muestra un campo de texto para que la víctima ingrese el código de desbloqueo.

Para protegernos contra este tipo de malware creado ad-hoc por aficionados y que difícilmente pueda ser incluido de manera rápida por los antivirus disponibles para Android, es recomendable seguir las clásicas medidas de seguridad que una vez más repetiremos:

  • Siempre mantenga copias de seguridad regulares de sus datos importantes.
  • Asegúrese de tener un conjunto de herramientas de seguridad antivirus activo en su smartphone.
  • Evite descargar aplicaciones desde sitios desconocidos y tiendas de aplicaciones de terceros.
  • Siempre preste mucha atención a los permisos solicitados por una aplicación, incluso si se descarga desde una tienda oficial de aplicaciones.
  • No abra ningún archivo adjunto de correo electrónico de fuentes desconocidas.
  • No siga ningún link enviado por un mensage SMS de una fuente desconocida.
  • Por último, navegue por Internet con extrema cautela y preste atención extra cada vez que visite un sitio web en el cuál no ha estado antes.

Asus lanza una laptop con Windows 10S

Estándar

Windows 10 S es una especie de respuesta de Microsoft al sistema operativo Google Chrome, este es un sistema operativo ligero que se puede ejecutar tanto en hardware de nivel de entrada o de gama alta que pone énfasis en la seguridad y la facilidad de uso en lugar de un soporte más amplio para todas las posibles aplicaciones de terceros.

Una diferencia clave entre Windows 10 S y Chrome OS, es que el sistema operativo de Microsoft puede actualizarce a la versión más completa Windows 10 Pro sin necesidad de comprar nuevo hardware. Claro previo pago del necesario upgrade de la licencia.

Dado que Windows 10 S y Pro pueden ejecutarse en los mismos dispositivos, no debería sorprendernos que empresas como Asus básicamente ofrezcan portátiles que vienen con la opción de ambos sistemas operativos. Este es el caso del nuevo Asus VivoBook W202 que es compatible con Windows 10 S, Home o Pro.

El portátil cuenta con una pantalla de 11.6 pulgadas, con una resolución de 1366 x 768 píxeles con una bisagra  que permite poner la pantalla en un ángulo de hasta 180 grados y un diseño semi-resistente con bordes y esquinas reforzados con goma, ya que el VivoBook W202 está diseñado para su uso en instituciones educativas.

Cuenta con un teclado resistente a derrames, soporte para WiFi 802.11ac, Bluetooth 4.1, dos puertos USB 3.0, un conector HDMI, un conector para auriculares, altavoces estéreo y una batería de 38 Wh. Esta batería de 38 Wh, mide aproximadamente 2.29 centímetros de espesor, y pesa alrededor de 5.94 kilos.

La versión que viene con Windows 10 S tiene un precio de lista de $ 280 y cuenta con un procesador Intel Celeron N3350 dual-core Apollo Lake, 4GB de RAM y 64GB de almacenamiento eMMC.

Por $300 se obtienes el mismo portátil, excepto que viene con Windows 10 Home en lugar de Windows 10 S. Por supuesto, también se puedes pagar $50 para actualizar desde Windows 10 S a Windows 10 Pro.

Aquí les dejo un diagrama que tomé del blog Anandtech en dónde se resume todo lo dicho anteriormente:

Google retira 500 apps de Google Play por contener malware

Estándar

Al menos 500 aplicaciones que colectivamente sumán más de 100 millones de descargas desde Google Play contenían una puerta trasera secreta que permitía a los desarrolladores instalar una amplia gama de spyware en cualquier momento, dijeron el lunes investigadores de la firma de seguridad Lookout en un anuncio oficial.

Las aplicaciones contenían un kit de desarrollo de software (SDK) denominado Igexin, que facilita que las aplicaciones creadas con ese SDK se conecten a redes publicitarias y publiquen anuncios dirigidos a los intereses específicos de los usuarios finales de las aplicaciones. Una vez que una aplicación que utiliza una versión maliciosa de Igexin se instaló en un smartphone, el SDK podría actualizar la aplicación para incluir spyware en cualquier momento, sin advertencia. El spyware más serio instalado en los smartphones era los paquetes que roban el historias de llamadas, incluyendo el tiempo que una llamada fue hecha, el número que colocó la llamada y si la llamada se conectó o no. Otros datos robados incluyen ubicaciones del smartphone en base a su GPS, listas de redes Wi-Fi cercanas y listas de aplicaciones instaladas.

Esto es lo que dice el anuncio de Lookout:

Cada vez es más común que autores de malware innovadores intenten evadir la detección mediante la presentación de aplicaciones inocuas a tiendas de aplicaciones de confianza y posteriormente, descargar código malicioso desde un servidor remoto. Igexin es algo único porque los propios desarrolladores de aplicaciones no están creando la funcionalidad malintencionada – ni están en control ni siquiera conscientes de la carga útil malintencionada que puede ser ejecutada posteriormente. En su lugar, la actividad invasiva se inicia desde un servidor controlado por Igexin.

Las aplicaciones que contienen el SDK incluyen:

  • Juegos dirigidos a adolescentes (uno con 50M-100M de descargas)
  • Aplicaciones meteorológicas (una con descargas de 1M a 5M)
  • Radio por Internet (500K-1M descargas)
  • Editores de fotos (1M-5M descargas)
  • Educación, salud y fitness, viajes, emoji, aplicaciones de cámara de vídeo en casa

He estado buscando la lista completa de estas aplicaciones potencialmente peligrosas, pero no he podido encontrarla, por el momento la única forma de saber si tenemos una de estas aplicaciones instaladas es ir una a una en Settings>Apps y ver si el aún está listada en Google Play, de no ser el caso debemos removerla.

Aunque esto siempre se repite, lo hacemos una vez más, no instale aplicaciones de terceras partes no autorizadas ya que esas aplicaciones no tienen la menor auditoría y pueden tener dentro de ellas malware mucho más peligroso que el descrito aquí líneas arriba.

Google presentó oficialmente Android “Oreo”

Estándar

Google Android 8.0 finalmente tiene un nombre. El sistema operativo anteriormente llamado Android O será conocido  de ahora en adelante como Android 8.0 Oreo. Durante un evento programado para coincidir con el pico del eclipse solar en la ciudad de New York City el día de ayer, Google dio a conocer una estatua de la nueva Tasty Treat que estará en exhibición en la sede de la compañía en Mountain View California.

Es básicamente un personaje de Android en una capa con galleta Oreo en su centro … o tal vez el personaje bugdroid está en el centro, donde es el relleno cremoso de la galleta.

Aquí una captura de pantalla del video oficial de la presentación en New York City:

Aunque el nombre del nuevo sistema operativo no es realmente lo importante como las nuevas características de Android 8.0 (que incluyen multitarea, puntos de notificación, un nuevo marco de relleno automático y mejoras en la duración de la batería y mucho más). Pero desde que Google comenzó a dar a sus versiones de Android con nombres de código basados en “postres”, la presentación de los nuevos nombres comenzaron a convertirse en un rumor en sí mismo.

La mueva versión de Android 8.0 ya ha comenzar ser distribuida en los smartphones de GoogleNexus 5X, Nexus 6P, Nexus Player, Pixel CL, Pixel y Pixel XL. Pronto esta actualización estará disponible en los dispositivos móviles de otros fabricante.

Google dice que Motorola, LG, Samsung, HTC, Sharp, Sony, Huawei, HMD, Essential, General Mobile y Kyocera planean lanzar nuevos dispositivos con Android 8.0 Oreo y actualizar los dispositivos existentes al nuevo SO al final del presente año.

Si Ud. tiene uno de los smartphone de Google soportados por Android 8, ya puede descargar la actaulización desde aquí.

La plataforma de inversión en criptomonedas Enigma ha sido hackeada, $470,000 robados

Estándar

Un hacker desconocido ha robado hasta ahora más de 471,000 dólares en Ethereum, una de las criptomonedas más populares y cada vez más valiosas. Este es otro hack en el que Ethereum ha sido aprovechado para atacar a la popular plataforma de inversión de criptomonedas Enigma.

Según un anuncio hecho en su sitio web oficial hace poco, una “entidad desconocida” se las arregló para hackear su sitio web, las cuentas de correo electrónico y  subió una falsa página de pre-venta con una dirección falsa ETH para enviar dinero.

Los hackers también enviaron spam con su dirección falsa en el boletín de noticias de Enigma y a las cuentas de monedas de pre-venta, engañando a varias víctimas para que envíen sus criptomonedas a la dirección del hacker.

Etherscan, un popular motor de búsqueda para Ethereum Blockchain que permite a los usuarios buscar, confirmar y validar transacciones fácilmente, ya ha marcado la dirección como comprometida, pero la gente sigue enviando ETH a la dirección falsa, que es la siguiente:

0x29d7d1dd5b6f9c864d9db560d72a247c178ae86b

Este incidente marca el quinto hack a la criptomoneda Ethereum dentro de dos últimos meses, después de un robo de:

  • 8,4 millones de dólares de Ethereum durante la oferta inicial de monedas de Veritaseum (ICO).
  • $ 32 millones en Ethereum de las cuentas Ethereum Wallet de Parity.
  • $ 7 Millones de dólares en Ethereum durante el hacking del lanzamiento israelí de ICO de CoinDash.
  • $ 1 millón de Ethereum y Bitcoin en la casa de cambio de criptomonedas Bithumb.

Por el momento, no está claro cómo los atacantes irrumpieron en la red de Enigmas y hackearon su sitio web y las cuentas de correo electrónico.

Dado que los entusiastas de las criptomonedas y los inversores siguen enviando su Ethereum a la dirección falsa, por favor compartan esta historia para advertir a sus amigos.

8 extensiones de Chrome hackeadas, afectan a 4.8 millones de usuarios

Estándar

Las extensiones del navegador web Chrome de Google están bajo ataque ya que una serie de desarrolladores han sido hackeados dentro del último mes. Por ejemplo hace casi dos semanas, atacantes desconocidos lograron comprometer la cuenta de Chrome Web Store de un equipo de desarrolladores y secuestraron la extensión de Copyfish y luego la modificaron para distribuir spam a los usuarios de dicha extensión.

Sólo dos días después de ese incidente, atacantes desconocidos secuestraron otra extensión popular llamada ‘Web Developer’ y luego la actualizaron para inyectar directamente anuncios en el navegador web a más de un millón de usuarios.

Después de que Chris Pederick, creador de la extensión ‘Web Developer’ de Chrome que ofrece diversas herramientas de desarrollo web a sus usuarios, informara a Proofpoint que su extensión había sido comprometida, el proveedor de seguridad analizó el problema y encontró que otras extensiones en Chrome Store también había sido alteradas.

Según el último informe publicado por los investigadores en Proofpoint el lunes pasado, la lista ampliada de las extensiones de Chrome comprometidas son las siguientes:

El investigador de Proofpoint Kafeine también cree que las extensiones Chrome TouchVPN y Betternet VPN también fueron comprometidas de la misma manera a finales del mes de junio.

En todos los casos anteriores, algunos atacantes no identificados, accedieron por primera vez a las cuentas web de Google de los desarrolladores enviando correos electrónicos de phishing con vínculos maliciosos para robar credenciales de cuenta.

Una vez que los atacantes accedieron a las cuentas o bien secuestraron sus respectivas extensiones y luego las modificaron para realizar tareas maliciosas, o bien le agregaron código malicioso Javascript en un intento de secuestrar el tráfico y exponer a los usuarios a falsos anuncios y robo de contraseñas con el fin de generar ingresos.

En el caso de la extensión Copyfish, los atacantes incluso trasladaron toda la extensión a una de las cuentas de sus desarrolladores, evitando que la compañía de software eliminara la extensión infectada de Chrome Store, incluso después de haber detectado un comportamiento comprometido de la extensión.

En este momento, no está claro quién está detrás de los secuestros de las extensiones Web de Chrome.

Una conclusión que podemos extraer de este grave fallo de seguridad es que demuestra que no hay ninguna estratégia que sea invulnerable. Recordemos que las Google Chromebook se venden bajo la premisa de que son más seguras que otras soluciones de computadoras personales, digamos Windows, MacOS o Linux. Sin embargo, este ataque masivo demuestra que no es necesario un gusano para infectar millones de computadoras, es suficiente hackear al creador de una extensión de Chrome para infectar a millones de usuarios, es decir el modelo de seguridad centralizado de Google vulve más sencillo el trabajo de los hackers. Bajo este mismo principio tanto los mercados de aplicaciones móviles como Google Play o AppStore de Apple pueden sufrir ataques similares.

La mejor manera de protegerse de tales ataques es siempre sospechar de los documentos no solicitados enviados a través de un correo electrónico de phishing y nunca hacer clic en los enlaces dentro de esos documentos a menos que se verifique la fuente.

Vulnerabilidad de Microsoft Office permite infectar un PC

Estándar

Hace unos meses atrás la empresa de seguridad informática FireEye reportó en un post de su blog que abrir un simple archivo MS Word podría comprometer su computadora usando una vulnerabilidad crítica en Microsoft Office. Dicha vulnerabilidad de ejecución remota de código de Microsoft Office (CVE-2017-0199) residía en la interfaz de Windows Object Linking and Embedding (OLE) para la que se publicó un parche en abril de este año, pero los ciberdelincuentes siguen explotando la falla a través de los diferentes medios.

Los investigadores de seguridad han descubierto una nueva campaña de malware que está aprovechando la misma vulnerabilidad descubierta por FireEye, pero a diferencia de la primera vez, en esta oportunidad el ataque va escondido detrás de un archivo de PowerPoint (PPSX) especialmente diseñado para aprovechar esta vulnerabilidad .

Según los investigadores de Trend Micro, que hizo pública esta nueva campaña de malware, el ataque comienza con un archivo atachado a un convincente correo electrónico, supuestamente de un fabricante de cable y principalmente orientado a las empresas que participan en la industria de fabricación de productos electrónicos. Aquí un gráfico creado por Trend Micro que explica el proceso de infección:

Los pasos son pues:

Paso 1: El ataque comienza con un correo electrónico que contiene un archivo malicioso de PowerPoint (PPSX) en el archivo adjunto, que pretende enviar información sobre una solicitud de pedido.

Paso 2: Una vez abierto, el archivo PPSX llama a un archivo XML programado en él para descargar el archivo “logo.doc” desde una ubicación remota y lo ejecuta a través de la función de animaciones de PowerPoint Show.

Paso 3: El archivo Logo.doc malformado activa la vulnerabilidad CVE-2017-0199, que descarga y ejecuta RATMAN.exe en el sistema de destino.

Paso 4: RATMAN.exe es una versión trojanizada de la herramienta Remote Control de Remcos, que cuando está instalada, permite a los atacantes controlar de forma remota las computadoras infectadas desde su servidor de comando y control.

Remcos es una herramienta de acceso remoto legítima y personalizable que permite a los usuarios controlar su sistema desde cualquier parte del mundo con algunas capacidades, como descargar y ejecutar comandos shell, un keylogger, un registrador de pantalla y grabadoras tanto para webcam como de micrófono.

Dado que el exploit inicialmente se utilizó para entregar documentos infectados de archivos de texto enriquecido (.RTF), la mayoría de los métodos de detección para la vulnerabilidad CVE-2017-0199 se centra en los archivos RTF. Por lo tanto, el uso de un nuevo formato de archivo PPSX permite a los atacantes evadir la detección de muchos antivirus.

La forma más sencilla de evitar completamente este ataque es descargar y aplicar los parches lanzados por Microsoft en abril de este año que resuelven la vulnerabilidad CVE-2017-0199.