Malware Malspam dirigida a bancos con archivos Microsoft Publisher

Investigadores de Trustwave han descubierto una campaña de malspam dirigida a los bancos con la RAT FlawedAmmyy

La peculiaridad de esta campaña de malspam es el uso inusual de un archivo de Microsoft Office Publisher para infectar los sistemas de las víctimas.

Los expertos notaron un aumento anómalo en el número de correos electrónicos con un archivo de Microsoft Office Publisher (un archivo .pub adjunto) y el asunto, "Aviso de pago", que se envió a los dominios que pertenecen a los bancos.

Esta campaña es muy pequeña pero parece estar muy centrada en los bancos.

Los mensajes de spam contenían URL que descargaron el troyano de acceso remoto (RAT) FlawedAmmyy, un conocido backdoor.

Otro aspecto interesante de la campaña es que fue impulsado por la botnet Necurs.

"Esta campaña fue inusual en el uso de archivos .pub. También parece provenir de la botnet Necurs , una notoria botnet responsable de la distribución masiva de malware en el pasado ", dice el análisis publicado por Trustwave.

"A diferencia de las campañas masivas anteriores, esta campaña fue pequeña y, curiosamente, todas las direcciones Para: que vimos como objetivo eran dominios pertenecientes a bancos, lo que indica un deseo de que los atacantes se establezcan en los bancos con la RAT FlawedAmmyy".

Cuando las víctimas abren el archivo pub, se les solicita "Habilitar macros", las versiones anteriores de Microsoft Publisher pueden mostrar instrucciones para "Habilitar edición" y "Habilitar contenido".

Al abrir manualmente el Editor de Visual Basic (Editor de VBA) en Microsoft Publisher y hacer clic en "ThisDocument" en el Explorador de proyectos, el VBScript ejecuta un archivo armado que contiene la RAT.

"El macro script se activa con la función Document_Open(). Como su nombre lo indica, cuando se abre el archivo, el script accede a una URL y ejecuta un archivo descargado ", continúa el análisis.

El código malicioso aprovecha los objetos de control en los formularios para ocultar la URL desde la que descarga la RAT, la URL se almacena en la propiedad Etiqueta.

"Para cuando examinamos la muestra, ya no se podía acceder a la URL, pero un poco más de investigación indicó que esta URL se utilizó para descargar un archivo autoextraíble, que contenía la RAT FlawedAmmyy", dijeron los investigadores.

En julio, Proofpoint descubrió otra campaña masiva de mensajes maliciosos que entregaba la RAT FlawedAmmyy que aprovechaba los correos electrónicos con documentos PDF armados que contenían archivos maliciosos de SettingContent-ms.

La campaña fue atribuida al grupo cibercriminal TA505 con motivación financiera.

"Esta campaña fue inusual en el uso de archivos .pub. También parece provenir de la botnet Necurs, una notoria botnet responsable de la distribución masiva de malware en el pasado (ver aquí y aquí ). "Concluye Trustwave.

"A diferencia de las campañas masivas anteriores, esta campaña fue pequeña y, curiosamente, todas las direcciones Para: que vimos como objetivo eran dominios pertenecientes a bancos, lo que indica un deseo de que los atacantes se establezcan en los bancos con la RAT FlawedAmmyy".

Semrush sigue a tu competencia


Fecha actualización el 2018-08-20. Fecha publicación el 2018-08-20. Categoria: malware Autor: Oscar olg Mapa del sitio Fuente: securityaffairs
malware