Los especialistas han descubierto una nueva campaña de delitos cibernéticos que hace un uso incorrecto de las hojas de cálculo de Excel para repartir troyanos desapacibles.
Los estudiosos de seguridad cibernética de Morphisec Labs advirtieron al actor de amenazas ruso, FIN7 (asimismo conocido como Carbanak), distribuyendo un troyano de acceso recóndito (RAT) pequeño y ligero, una variación de JSSLoader, a través de ficheros XLL y XLM mandados por correo.
Estos ficheros poseen complementos armados, que dejan a los atacantes filtrar datos, establecer persistencia en el punto y final de destino e señalar a la RAT que realice actualizaciones automáticas, entre otras muchas cosas.
Vuela bajo el radar
Esta RAT en particular existe desde diciembre de dos mil veinte. No obstante, en esta campaña, los atacantes procuran repartir un fichero sin firmar, lo que quiere decir que Excel va a mostrar una advertencia clara de que ejecutar el fichero es arriesgado.
Los estudiosos explican que estos ficheros XLL, si son activados por la víctima, utilizan un código malicioso que se halla en la función xlAutoOpen, se cargan en la memoria y después descargan el malware de segunda etapa desde un servidor recóndito.
Después de eso, utilizan una llamada a la API para ejecutar el proceso.
Aunque tiene exactamente el mismo flujo de ejecución, esta variación de JSSLoader es un tanto diferente de las precedentes, ya que puede mudar el nombre de todas y cada una de las funciones y variables, en un esmero por continuar fuera del radar de los antivirus y otras soluciones de seguridad.
También divide cadenas en subcadenas y las encadena en tiempo de ejecución, para eludir aún más la detección por reglas YARA basadas en cadenas.
Estos nuevos métodos para eludir la detección, así como la manera en que se entrega la carga útil, son suficientes para sostener la RAT fuera de la vista de la mayor parte de las soluciones antivirus y de protección de puntos finales, añadió Morphisec.
FIN7 puede utilizarlo para un movimiento lateral inexorable en toda la red comprometida a lo largo de días o aun semanas ya antes de ser detectado, afirmó la compañía.
El actor de amenazas es un conjunto delincuente parcialmente creativo, que últimamente apareció en los titulares en enero de dos mil veintidos cuando se descubrió que estaban mandando unidades USB maliciosas a las víctimas.
Vía: BleepingComputer
