Últimas 15minutos

Descubierto un nuevo ataque que descarga de malware a través de archivos de PowerPoint fraudulentos

Se activa cuando el usuario activa el modo de presentación del documento y mueve el ratón

El software malicioso ejecuta una secuencia de comandos de la herramienta PowerShell, que descarga y activa un dropper desde la solución de almacenamiento de Microsoft OneDrive (MICROSOFT)

15 minutos. Investigadores descubrieron un nuevo ataque consistente en la descarga de software malicioso (malware) a través de documentos de Microsoft PowerPoint falsificados, en el momento en que se abren como una presentación y se desplaza el ratón sobre ellos, dirigido principalmente a empresas.

Un equipo de profesionales de la compañía de ciberseguridad Cluster25 hallaron esta nueva técnica implementada por el grupo de ciberdelincuentes APT28 (también conocido como Fancy Bear y TSAR Team), que distribuyó un malware denominado Graphite.

Este grupo de amenaza, atribuido a la Dirección Principal de Inteligencia del Estado Mayor ruso por una acusación del Departamento de Justicia de Estados Unidos en 2018, utiliza documentos fraudulentos de Microsoft PowerPoint para distribuir archivos maliciosos.

Malware

Para introducir este malware en los dispositivos, explota una técnica de ejecución de código, que está diseñada para activarse cuando el usuario activa el modo de presentación del documento y mueve el ratón.

Entonces, el software malicioso ejecuta una secuencia de comandos de la herramienta PowerShell, que descarga y activa un dropper desde la solución de almacenamiento de Microsoft OneDrive. Este troyano, que tiene un aspecto de imagen aparentemente inofensivo, funciona como medio para incorporar un fichero o payload persistente.

Este malware es una variante de Graphite, que usa Microsoft Graph API y OneDrive para sus comunicaciones de comando y control (C&C) para obtener información.

Este ataque se registró principalmente en empresas, ya que los documentos de señuelo utilizados por los ciberatacantes presentaban una plantilla vinculada a la Organización para la Cooperación y el Desarrollo Económico (OCDE). Además, según Cluster25, se hallaron indicios de que seguía en activo en los registros del actual y último trimestre de 2023.

6 medidas de prevención

Para prevenir este nuevo método, Nunsys creó un listado de medidas de prevención que pueden ayudar a garantizar la seguridad de las organizaciones.

En primer lugar, desde la compañía proponen conntar con las denominadas herramientas EDR, esto es, de detección y respuesta del 'endpoint', es decir, del dispositivo informático empleado. Con ellas se puede monitorizar el tráfico entre dispositivos y red y proteger equipo.

Por otra parte, conviene prohibir el uso de macros en documentos ofimáticos que provengan de fuentes sospechosas y deshabilitar la interfaz de línea de comandos (PowerShell) en perfiles de usuario que no lo necesiten.

Además, es importante contar con herramientas de gestión y despliegue centralizado de parches de seguridad de los sistemas operativos, verificando también en la web de los fabricantes que se está haciendo uso de la última versión de software.

Las copias de seguridad del sistema también son un recurso importante para prevenir que los usuarios maliciosos puedan manipular o eliminar las copias de seguridad.

Finalmente, es necesario desplegar sistemas de seguridad perimetral, como cortafuegos, así como permanecer informado de las noticias sobre ciberseguridad vinculadas a nuevas vulnerabilidades y mecanismos de ataque.

Ver más