Es probable que los actores de amenazas estén empleando una herramienta diseñada para ejercicios de trabajo en equipo para distribuir malware, según nuevos hallazgos de Cisco Talos.
El programa en cuestión es un marco de generación de carga útil llamado Paquete de macrosque se utiliza para generar documentos de Office, scripts de Visual Basic, accesos directos de Windows y otros formatos para pruebas de penetración y evaluaciones de ingeniería social. Fue desarrollado por el desarrollador francés Emeric Nasi.
La empresa de ciberseguridad dijo que encontró artefactos cargados en VirusTotal desde China, Pakistán, Rusia y Estados Unidos, todos generados por MacroPack y utilizados para entregar varias cargas útiles como Havoc, Brute Ratel y una nueva variante de PhantomCore, un troyano de acceso remoto (RAT) atribuido a un grupo hacktivista llamado Head Mare.
«Una característica común en todos los documentos maliciosos que analizamos y que nos llamó la atención es la existencia de cuatro subrutinas VBA no maliciosas», dijo la investigadora de Talos, Vanja Svajcer. dicho.
«Estas subrutinas aparecieron en todas las muestras y no estaban ocultas. Tampoco habían sido utilizadas por otras subrutinas maliciosas ni en ningún otro lugar de los documentos».
Un aspecto importante a tener en cuenta aquí es que los temas de señuelo que abarcan estos documentos son variados, desde temas genéricos que instruyen a los usuarios a habilitar macros hasta documentos de apariencia oficial que parecen provenir de organizaciones militares. Esto sugiere la participación de distintos actores de amenazas.
También se ha observado que algunos de los documentos aprovechan las funciones avanzadas ofrecidas como parte de MacroPack para eludir las detecciones heurísticas antimalware ocultando la funcionalidad maliciosa mediante Cadenas de Markov para crear funciones y nombres de variables aparentemente significativos.
Las cadenas de ataque, observadas entre mayo y julio de 2024, siguen un proceso de tres pasos que implica el envío de un documento de Office con trampa explosiva que contiene el código VBA de MacroPack, que luego decodifica una carga útil de la siguiente etapa para finalmente buscar y ejecutar el malware final.
Este desarrollo es una señal de que los actores de amenazas están constantemente actualizando sus tácticas en respuesta a las interrupciones y adoptando enfoques más sofisticados para la ejecución del código.