Los archivos de PowerPoint están siendo pirateados para propagar este nuevo malware ruso

Los investigadores han descubierto una nueva campaña de ciberespionaje que aprovecha una peligrosa vulnerabilidad de PowerPoint para enviar el malware Graphite a los puntos finales objetivo. (se abre en una pestaña nueva).

Lo que hace que esta campaña sea particularmente peligrosa es el hecho de que las víctimas en realidad no necesitan hacer clic en un enlace o descargar el malware en sí mismo: basta con mover el mouse para desencadenar el ataque.

Los investigadores de ciberseguridad de Cluster25 descubrieron recientemente que APT28, también conocido como Fancy Bear, distribuía una presentación de PowerPoint (.PPT) que pretendía provenir de la Organización para la Cooperación y el Desarrollo Económicos (OCDE).

En el .PPT hay dos diapositivas que contienen un hipervínculo. Cuando la víctima pasa el mouse sobre el hipervínculo, se activa un script de PowerShell, utilizando la utilidad SyncAppvPublishingServer, se explicó. El script descarga un archivo JPEG titulado DSC0002.jpeg desde una cuenta de Microsoft OneDrive. El JPEG es, de hecho, un archivo .DLL encriptado llamado Imapi2.dll. Posteriormente, este archivo extrae y descifra un segundo .JPEG: el malware Graphite en forma de ejecutable portátil (PE).

Según Malpedia, Graphite fue descubierto por primera vez por investigadores de Trellix, que lo describieron como malware que usa Microsoft Graph API y OneDrive como su C2. Inicialmente, se estaba implementando en la memoria y su objetivo era descargar el agente de post-explotación de Empire.

APT28 es un conocido actor de amenazas, supuestamente en la nómina de Rusia. Los expertos en seguridad creen que el grupo es parte de la Dirección Principal de Inteligencia del Estado Mayor de Rusia, o GRU.

El grupo ha estado distribuyendo Graphite a través de esta técnica desde principios de septiembre, según creen los investigadores, y agregan que sus objetivos más probables son organizaciones en los sectores de defensa y gobierno, de países de la UE, así como de Europa del Este.

Desde la invasión de Ucrania, la guerra cibernética entre Rusia y Occidente se ha intensificado. A mediados de abril de este año, Microsoft informó que eliminó siete dominios que los ciberdelincuentes rusos estaban usando en ataques cibernéticos contra objetivos ucranianos, en su mayoría instituciones gubernamentales y medios de comunicación.

Vía: BleepingComputer (se abre en una pestaña nueva)

Fuente

Publicación anterior

Publicación siguiente

Los archivos de PowerPoint están siendo pirateados para propagar este nuevo malware ruso

Software imprescindible en 2024

Categorías superiores

Últimas opiniones

El video teaser del Samsung Galaxy Z Flip 5, antes del evento Galaxy Unpacked, muestra un nuevo diseño de bisagra y opciones de color

Twitter está limitando la cantidad de DM que los usuarios no verificados pueden enviar

Mi teléfono Android favorito puede hacer cosas que mi iPhone 14 Pro Max no puede

ChatGPT para Android se lanzará la próxima semana y puede registrarse previamente ahora

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A con Google TV, altavoces de 20 W lanzados en India: Precio, especificaciones

Esta batería comestible podría impulsar el mundo del diagnóstico y la energía sostenible