Hackers lanzan software malicioso defectuoso a traves de macros Excel
Los actores de amenazas de TA505 actualmente difunden el poderoso FlawedAmmyy RAT a través de documentos de MS Excel armados con una macro maliciosa de Excel 4.0 que es difícil de detectar por los controles de seguridad estándar.
La muestra de FlawedAmmyy RAT observada es altamente sofisticada y puede controlar a las víctimas infectadas de forma remota y evadir el software de seguridad.
Los actores de amenazas TA505 son un grupo de delitos cibernéticos muy conocido que ya ha infectado a millones de víctimas que utilizan varias operaciones maliciosas , como las campañas a gran escala Dridex , Locky y GlobeImposter, entre otras.
Según las capacidades de malware, se detectará solo cuando haya pasado el primer nivel de ejecución mediante un archivo MSI (instalador de Windows).
El investigador fue más profundo en el análisis de fuentes filtradas que, según FlawedAmmyy RAT, puede realizar varias operaciones, incluido el control de escritorio remoto, el administrador del sistema de archivos, el soporte de proxy y el chat de audio.
Además de estas infecciones, también puede proporcionar acceso completo de las máquinas víctimas a los atacantes y robar archivos, credenciales, recopilar capturas de pantalla y acceder a la cámara y al micrófono.
Según el investigador, Pedro Tavares deseguridad–informaticadijo a " GBHackers On Security" a través de correo electrónico "Durante mi investigación, detecté una ola reciente distribuyendo FlawedAmmyy RAT a través de macros XLM que complica su detección a través de puntos finales de seguridad como AVs. He enviado la muestra a VirusTotal y no se detectó ninguna actividad sospechosa. "Thread Actor 505 (TA505) ahora está propagando esta amenaza para infectar los dispositivos de los usuarios".
Proceso de infección defectuosa
TA505 actores de amenaza inicialmente aprovechando malspam Campaña de correo electrónico para difundir el FlawedAmmyy RAT a las víctimas seleccionadas mediante el uso de viejas tácticas, ya que el malware no es nuevo.
El correo electrónico contiene documentos de Excel adjuntos y el contenido del cuerpo de los usuarios de trucos de correo electrónico para abrir el archivo que contiene y ejecutar el código de macro de Excel 4.0 malicioso.
“El código de macro malintencionado XLM se encuentra dentro de una forma oculta para evitar la atención de las víctimas. El nombre del formulario oculto está escrito en el idioma ruso: Макрос1 - Macro 1, en inglés ".
Después de la ejecución exitosa de la Macro, MSI dropper estará listo para dejar caer la primera etapa del proceso msiexec.exe de malware , que es otro descargador del FlawedAmmyy RAT original ( wsus.exe ).
“Los usuarios que reciben correos electrónicos con archivos xls adjuntos deben saber que los archivos pueden ser un vehículo no detectado que se propaga a cualquier tipo de malware y la infección depende de que la víctima permita que la macro se ejecute. Los usuarios deben asegurarse de que las macros estén deshabilitadas en sus aplicaciones de Microsoft Office. ” segun el investigador.
Fuente: gbhackers
Mas Paginas que te pueden interesar
Canonical lanza Ubuntu 16.04.6 LTS con APT parcheado
Jugadores chinos de Overwatch son baneados por escribir Winnie the Pooh en el chat
Ataques de malware dirigidos contra servidores de Elasticsearch
Microsoft planea mejoras para Windows 10 20H1
La cumbre de Hanoi refleja las deficiencias de la diplomacia personalizada de Trump
Apex Legends trucos y secretos
Jugadores de Fortnite fracasan con el nuevo Pirate Cannon
Nvidia GTX 1660 y GTX 1650 se lanzan en marzo y abril
Estados Unidos prohibe las baterias de litio en las bodegas del avion
Apple Watch registra la mitad de todas las ventas de relojes inteligentes en 2018
Mueva la Papelera de reciclaje a la bandeja del sistema de Windows 10
Operador de servicio DDoS-as-a lanzo 1.3 millones de ataques DDoS
Fortnite comienza la temporada 8 con una explosion
El director de Kingdom Hearts 3 confirma que el DLC está en camino
PUBG con vestimenta gratuita Horizon Zero Dawn de tiempo limitado en PS4
El CEO de Avalanche Studios Christofer Sundberg abandona la empresa
Es posible que desee evitar que Apex Legends comparta sus datos con EA
Como cambiar la password de cifrado de copia de seguridad en Azure
Tema de ski Paradise para Windows 10
Las zapatillas Apex Legends del artista GFX se vuelven virales
Mozilla Firefox 67 incluira una nueva caracteristica para reducir el uso de memoria