Los atacantes están utilizando como arma una antigua vulnerabilidad de Microsoft Office como parte de campañas de phishing para distribuir una cepa de malware llamada Agent Tesla.
Las cadenas de infección aprovechan los documentos señuelo de Excel adjuntos en mensajes con temas de facturas para engañar a objetivos potenciales para que los abran y activar la explotación de CVE-2017-11882 (puntaje CVSS: 7,8), una vulnerabilidad de corrupción de memoria en el Editor de ecuaciones de Office que podría resultar en código. ejecución con los privilegios del usuario.
Los hallazgos, que provienen de Zscaler ThreatLabz, se basan en informes anteriores de Fortinet FortiGuard Labs, que detallaron una campaña de phishing similar que aprovechó la falla de seguridad para entregar el malware.
«Una vez que un usuario descarga un archivo adjunto malicioso y lo abre, si su versión de Microsoft Excel es vulnerable, el archivo Excel inicia la comunicación con un destino malicioso y procede a descargar archivos adicionales sin requerir ninguna interacción adicional del usuario», dijo el investigador de seguridad Kaivalya Khursale. dicho.
La primera carga útil es un script de Visual Basic ofuscado, que inicia la descarga de un archivo JPG malicioso que viene integrado con un archivo DLL codificado en Base64. Esta táctica de evasión esteganográfica también fue anteriormente detallado por McAfee Labs en septiembre de 2023.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
Posteriormente, la DLL oculta se inyecta en RegAsm.exe, la herramienta de registro de ensamblaje de Windows, para iniciar la carga útil final. Vale la pena señalar que también se ha abusado del ejecutable para cargar Quasar RAT en el pasado.
Agente Tesla es un registrador de teclas avanzado y troyano de acceso remoto (RAT) basado en .NET que está equipado para recopilar información confidencial de hosts comprometidos. Luego, el malware se comunica con un servidor remoto para extraer los datos recopilados.
«Los actores de amenazas adaptan constantemente los métodos de infección, lo que hace imperativo que las organizaciones se mantengan actualizadas sobre la evolución de las amenazas cibernéticas para salvaguardar su panorama digital», dijo Khursale.
El desarrollo se produce cuando las viejas fallas de seguridad se convierten en nuevos objetivos de ataque para los actores de amenazas. A principios de esta semana, Imperva reveló que 8220 Gang está utilizando una falla de tres años en Oracle WebLogic Server (CVE-2020-14883, puntuación CVSS: 7.2) para entregar mineros de criptomonedas.
También coincide con un aumento en la actividad del malware DarkGate después de que comenzó a publicitarse a principios de este año como una oferta de malware como servicio (MaaS) y como reemplazo de QakBot luego de su eliminación en agosto de 2023.
«El sector tecnológico es el más afectado por las campañas de ataque DarkGate», Zscaler dichocitando datos de telemetría del cliente.
«La mayoría de los dominios DarkGate tienen entre 50 y 60 días, lo que puede indicar un enfoque deliberado en el que los actores de amenazas crean y rotan dominios en intervalos específicos».
También se han descubierto campañas de phishing dirigidas al sector hotelero con mensajes de correo electrónico relacionados con reservas para distribuir malware de robo de información como RedLine Stealer o Vidar Stealer, según Sophos.
«Inicialmente se comunican con el objetivo a través de un correo electrónico que no contiene nada más que texto, pero con un tema al que una empresa orientada a servicios (como un hotel) querría responder rápidamente», investigadores Andrew Brandt y Sean Gallagher. dicho.
«Sólo después de que el objetivo responde al correo electrónico inicial del actor de la amenaza, este envía un mensaje de seguimiento vinculando lo que afirma son detalles sobre su solicitud o queja».
A pesar de los ladrones y troyanos, los ataques de phishing han tomado la forma de correos electrónicos falsos de «infracción de derechos de autor» de Instagram para robar los códigos de respaldo de autenticación de dos factores (2FA) de los usuarios a través de páginas web fraudulentas con el objetivo de eludir las protecciones de la cuenta, un esquema llamado Insta-Phish-A-Gram.
«Los datos que los atacantes recuperan de este tipo de ataque de phishing pueden venderse clandestinamente o utilizarse para hacerse cargo de la cuenta», afirma la empresa de ciberseguridad. dicho.