Los investigadores han descubierto una nueva campaña de ciberespionaje que aprovecha una peligrosa vulnerabilidad de PowerPoint para enviar el malware Graphite a los puntos finales objetivo. (se abre en una pestaña nueva) .
Lo que hace que esta campaña sea particularmente peligrosa es el hecho de que las víctimas en realidad no necesitan hacer clic en un enlace o descargar el malware en sí mismo: basta con mover el mouse para desencadenar el ataque.
Los investigadores de ciberseguridad de Cluster25 descubrieron recientemente que APT28, también conocido como Fancy Bear, distribuía una presentación de PowerPoint (.PPT) que pretendía provenir de la Organización para la Cooperación y el Desarrollo Económicos (OCDE).
En el .PPT hay dos diapositivas que contienen un hipervínculo. Cuando la víctima pasa el mouse sobre el hipervínculo, se activa un script de PowerShell, utilizando la utilidad SyncAppvPublishingServer, se explicó. El script descarga un archivo JPEG titulado DSC0002.jpeg desde una cuenta de Microsoft OneDrive. El JPEG es, de hecho, un archivo .DLL encriptado llamado Imapi2.dll. Posteriormente, este archivo extrae y descifra un segundo .JPEG: el malware Graphite en forma de ejecutable portátil (PE).
Según Malpedia, Graphite fue descubierto por primera vez por investigadores de Trellix, que lo describieron como malware que usa Microsoft Graph API y OneDrive como su C2. Inicialmente, se estaba implementando en la memoria y su objetivo era descargar el agente de post-explotación de Empire.
APT28 es un conocido actor de amenazas, supuestamente en la nómina de Rusia. Los expertos en seguridad creen que el grupo es parte de la Dirección Principal de Inteligencia del Estado Mayor de Rusia, o GRU.
El grupo ha estado distribuyendo Graphite a través de esta técnica desde principios de septiembre, según creen los investigadores, y agregan que sus objetivos más probables son organizaciones en los sectores de defensa y gobierno, de países de la UE, así como de Europa del Este.
Desde la invasión de Ucrania, la guerra cibernética entre Rusia y Occidente se ha intensificado. A mediados de abril de este año, Microsoft informó que eliminó siete dominios que los ciberdelincuentes rusos estaban usando en ataques cibernéticos contra objetivos ucranianos, en su mayoría instituciones gubernamentales y medios de comunicación.
Vía: BleepingComputer (se abre en una pestaña nueva)