Crackers estão explorando uma falha recém corrigida no Internet Explorer ao esconder controles ActiveX maliciosos em documentos para o Microsoft Word, afirmou a McAfee nessa quinta-feira (18/12).

"Esta é uma maneira bem enganadora para atacar pessoas, já que tanto a infecção como a comunicação com o servidor remoto são invisíveis ao olho", afirmou David Marcus, diretor de pesquisa e comunicações da McAfee.

Integrar malware em documentos Word não é exatamente novo - Marcus afirmou que já viu "um ou dois" ataques do tipo - mas usar o controle ActiveX para pedir ao servidor remoto dos crackers o malware "é algo definitivamente novo", acrescentou.

Os arquivos maliciosos podem chegar à vítima por meio de anexos em e-mails ou oferecidos por sites com fins criminosos.

O bug no IE vem sendo explorado desde o dia 9 de dezembro, quando apareceram as primeiras informações sobre códigos maliciosos divulgados por um cracker chinês.

Desde então, a Microsoft não apenas admitiu o bug, como foi forçada a quebrar seu ciclo convencional de atualizações para divulgar um patch de emergência nessa semana para as versões 5, 6 e 7 do Internet Explorer.

Ainda que outros pesquisadores continuem a alegar que milhares de sites legítimos foram alterados para que fossem usados como veículos de ataque contra navegadores não atualizados, Marcus afirmou não ter certeza sobre os números.

"Mas, absolutamente, tem havido muita atividade ao redor disto. Muitos criminosos integraram iFrames em seus sites para atacar o IE", afirmou Marcus.