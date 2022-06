Hace más de un mes, un archivo de Word (.docx) remitido a VirusTotal desde Bielorrusia permitía identificarlo como un documento malicioso que se aprovechaba de una vulnerabilidad 'zero day' de Microsoft Office. Como tal, por ahora sortea las protecciones antimalware…

…pero lo peor es que es capaz de ejecutar código al abrir el documento, incluso cuando tenemos deshabilitado el uso de macros (que suelen ser la principal vía de entrada de malware a través de Office). Tal como analizaba en Twitter el grupo de expertos en ciberseguridad Nao_sec, el documento:

Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt