Recentemente, pesquisadores do Deep Instinct publicaram uma pesquisa que aponta como tendẽncia o uso do Microsoft Visual Studio Tools for Office (VSTO), como método para executar código em uma máquina de por meio de suplementos maliciosos no Office. Segundo a publicação, desde que a Microsoft anunciou que iria bloquear a execução de macros VBA e XL4 no Office por padrão, grupos de adversários vêm mudando suas campanhas para utilizar arquivos .ZIP e .ISO ou ainda arquivos de atalho .LNK para distribuir seu malware. No entanto, usar o VSTO introduz um vetor de ataque que permite criar malware baseado em .NET e incorporá-lo ao suplemento do Office. Por fim, os pesquisadores indicam que embora ataques usando VSTO sejam incomuns, já é possível ver um aumento de seu uso em campanhas ativas. Para atestar a efetividade da superfície de ataque, os pesquisadores disponibilizaram uma uma prova de conceito (PoC) com o payload do malware Meterprete.
https://www.deepinstinct.com/blog/no-macro-no-worries-vsto-being-weaponized-by-threat-actors
Comentarios