Una campaña de phishing recientemente observada está aprovechando la vulnerabilidad de seguridad de Follina recientemente revelada para distribuir una puerta trasera no documentada anteriormente en los sistemas Windows.
“Rozena es un malware de puerta trasera que es capaz de inyectar una conexión de shell remota a la máquina del atacante”, dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. dijo en un informe esta semana.
Rastreada como CVE-2022-30190, la vulnerabilidad de ejecución remota de código de Microsoft Windows Support Diagnostic Tool (MSDT) ahora parcheada ha sido objeto de una fuerte explotación en las últimas semanas desde que salió a la luz a fines de mayo de 2022.
El punto de partida de la última cadena de ataques observada por Fortinet es un arma Documento de oficina que, cuando se abre, se conecta a una URL de Discord CDN para recuperar un archivo HTML (“índice.htm“) que, a su vez, invoca la utilidad de diagnóstico mediante un comando de PowerShell para descargar las cargas útiles de la próxima etapa desde el mismo espacio adjunto de CDN.
Esto incluye el implante Rozena (“Word.exe”) y un archivo por lotes (“cd.bat”) que está diseñado para finalizar los procesos de MSDT, establecer la persistencia de la puerta trasera mediante la modificación del Registro de Windows y descargar un documento de Word inofensivo como señuelo. .
La función principal del malware es inyectar código shell que lanza un shell inverso al host del atacante (“microsofto.duckdns[.]org”), lo que en última instancia le permite al atacante tomar el control del sistema requerido para monitorear y capturar información, al mismo tiempo que mantiene una puerta trasera al sistema comprometido.
La explotación de la falla de Follina para distribuir malware a través de documentos de Word maliciosos se presenta como ataques de ingeniería social. confiando en Microsoft Excel, acceso directo de Windows (LNK) y archivos de imagen ISO como cuentagotas para implementar malware como Emotet, QBot, IcedID y Bumblebee en el dispositivo de la víctima.
Se dice que los cuentagotas se distribuyen a través de correos electrónicos que contienen directamente el cuentagotas o un ZIP protegido con contraseña como archivo adjunto, un archivo HTML que extrae el cuentagotas cuando se abre o un enlace para descargar el cuentagotas en el cuerpo del correo electrónico.
Si bien los ataques detectados a principios de abril destacaron archivos de Excel con macros XLM, se dice que la decisión de Microsoft de bloquear macros de forma predeterminada casi al mismo tiempo obligó a los actores de amenazas a pasar a métodos alternativos como el contrabando de HTML, así como archivos .LNK e .ISO. .
El mes pasado, Cyble reveló detalles de una herramienta de malware llamada Quantum que se vende en foros clandestinos para equipar a los ciberdelincuentes con capacidades para crear archivos .LNK e .ISO maliciosos.
Vale la pena señalar que macros han sido un vector de ataque probado para los adversarios que buscan colocar ransomware y otro malware en los sistemas Windows, ya sea a través de correos electrónicos de phishing u otros medios.
Desde entonces, Microsoft ha detenido temporalmente sus planes para deshabilitar las macros de Office en los archivos descargados de Internet, y la compañía le dijo a The Hacker News que se está tomando el tiempo para hacer “cambios adicionales para mejorar la usabilidad”.