HPE entre los líderes de almacenamiento de Gartner
Los hackers están utilizando documentos de Word con macros maliciosos y PowerShell para distribuir malware fileless.
Los documentos de Word con macros maliciosos que llegan a través de correo basura se han convertido en los últimos meses en un método popular para infectar equipos.
Con este recurso, los atacantes están avanzando mediante el uso de estos documentos para entregar el malware fileless que se carga directamente en la memoria del computador.
Según los investigadores de seguridad de Palo Alto Networks han estado analizando un ataque reciente que se basó en una campaña de spam con documentos de Word maliciosos para direcciones de correo electrónico en Estados Unidos, Canadá y Europa.
Los correos electrónicos de la campaña contenían los nombres de los destinatarios, así como la información específica acerca de las empresas para las que trabajaban, lo cual es toda una innovación en las campañas de spam generalizadas.
Para los investigadores, esta atención a los detalles le dio más credibilidad a los mensajes de correo no deseado y hace que sea más probable que las víctimas abran los documentos adjuntos.
Buscando el dinero
Todo el despliegue del guión malicioso busca que, a través de Word y de Windows PowerShell, el archivo powershell.exe se distribuya por todo el sistema, así como en otros equipos a través de internet mientras se logra controlarlos en forma remota.
En Palo Alto consideran que el objetivo es encontrar sistemas que se utilizan para llevar a cabo transacciones financieras y evitar aquellos que son monitoreados por investigadores de seguridad como las instituciones médicas y las educativas.
“Mediante el uso de PowerShell los atacantes han sido capaces de poner malware en el registro de Windows que, de otro modo, podría ser detectado en el disco duro”, dijo el instructor de Palo Alto, Marcos Baggett, en una entrada en el blog.
Sólo los sistemas que responden a lo que los atacantes están buscando se marcan e informaron de nuevo a un servidor de comando y control. Para esos sistemas, el programa transfiere un archivo malicioso DLL cifrado (librería de enlace dinámico) y lo cargar en la memoria.
“Debido a los detalles específicos de los contenidos en los correos electrónicos no deseados y el uso de malware residente en la memoria, esta campaña en particular debe ser tratada como una gran amenaza“, señalaron los investigadores de Palo Alto en su blog.
El almacenamiento de código malicioso en el registro del sistema, el abuso de Windows PowerShell y la adición de macros maliciosos a los documentos no son nuevas técnicas. Sin embargo, su combinación puede hacer que los ataques sean muy potentes y difíciles de detectar.
