Se explorado com sucesso, o complemento baixará um script VBS malicioso e o executará:
O URL de onde o script foi baixado é http://80[.]76[.]51[.[1] https://github.com/Tw1sm/spraycharles
[2] https://www.sans.edu/cyber-security-programs/bachelors-degree/
———–
Guy Bruneau IPSS Inc.
Minha página de manipulador
Twitter: Guy Bruneau
gbruneau em isc dot sans dot edu
O Excel é um excelente alvo para invasores.A próxima carga útil é baixada de http://80[.]76[.]515.]248/afrique.txt, que retorna uma string codificada em Base64 (invertida) que é decodificada como um arquivo PE (SHA256: e45d91008eb19ecc3c9e6aab13339bc327c2c61b97215b0d2cc98c23b0db057a).Se você ler “habilitado para macro”, não é uma macro clássica do VBA, mas este complemento contém uma exploração para o bom e velho Editor de Equações (CVE-:2017-1182).
Fonte: https://isc.sans.edu/diary/0
