Hackers lanzan software malicioso defectuoso a traves de macros Excel

Los actores de amenazas de TA505 actualmente difunden el poderoso FlawedAmmyy RAT a través de documentos de MS Excel armados con una macro maliciosa de Excel 4.0 que es difícil de detectar por los controles de seguridad estándar.

La muestra de FlawedAmmyy RAT observada es altamente sofisticada y puede controlar a las víctimas infectadas de forma remota y evadir el software de seguridad.

Los actores de amenazas TA505 son un grupo de delitos cibernéticos muy conocido que ya ha infectado a millones de víctimas que utilizan varias operaciones maliciosas , como las campañas a gran escala Dridex , Locky y GlobeImposter, entre otras.

Según las capacidades de malware, se detectará solo cuando haya pasado el primer nivel de ejecución mediante un archivo MSI (instalador de Windows).

El investigador fue más profundo en el análisis de fuentes filtradas que, según FlawedAmmyy RAT, puede realizar varias operaciones, incluido el control de escritorio remoto, el administrador del sistema de archivos, el soporte de proxy y el chat de audio.

Además de estas infecciones, también puede proporcionar acceso completo de las máquinas víctimas a los atacantes y robar archivos, credenciales, recopilar capturas de pantalla y acceder a la cámara y al micrófono.

Según el investigador, Pedro Tavares deseguridad–informaticadijo a " GBHackers On Security" a través de correo electrónico "Durante mi investigación, detecté una ola reciente distribuyendo FlawedAmmyy RAT a través de macros XLM que complica su detección a través de puntos finales de seguridad como AVs. He enviado la muestra a VirusTotal y no se detectó ninguna actividad sospechosa. "Thread Actor 505 (TA505) ahora está propagando esta amenaza para infectar los dispositivos de los usuarios".

Proceso de infección defectuosa

TA505 actores de amenaza inicialmente aprovechando malspam Campaña de correo electrónico para difundir el FlawedAmmyy RAT a las víctimas seleccionadas mediante el uso de viejas tácticas, ya que el malware no es nuevo.

El correo electrónico contiene documentos de Excel adjuntos y el contenido del cuerpo de los usuarios de trucos de correo electrónico para abrir el archivo que contiene y ejecutar el código de macro de Excel 4.0 malicioso.

“El código de macro malintencionado XLM se encuentra dentro de una forma oculta para evitar la atención de las víctimas. El nombre del formulario oculto está escrito en el idioma ruso: Макрос1 - Macro 1, en inglés ".

Después de la ejecución exitosa de la Macro, MSI dropper estará listo para dejar caer la primera etapa del proceso msiexec.exe de malware , que es otro descargador del FlawedAmmyy RAT original ( wsus.exe ).

“Los usuarios que reciben correos electrónicos con archivos xls adjuntos deben saber que los archivos pueden ser un vehículo no detectado que se propaga a cualquier tipo de malware y la infección depende de que la víctima permita que la macro se ejecute. Los usuarios deben asegurarse de que las macros estén deshabilitadas en sus aplicaciones de Microsoft Office. ” segun el investigador.

Fuente: gbhackers