El actor de amenazas conocido como Atlas de nubes<\/strong> Se ha observado que utiliza un malware previamente no documentado llamado VBCloud como parte de sus campa\u00f1as de ciberataques dirigidas a “varias docenas de usuarios” en 2024.<\/p>\n “Las v\u00edctimas se infectan a trav\u00e9s de correos electr\u00f3nicos de phishing que contienen un documento malicioso que aprovecha una vulnerabilidad en el editor de f\u00f3rmulas (CVE-2018-0802) para descargar y ejecutar c\u00f3digo malicioso”, afirma Oleg Kupreev, investigador de Kaspersky. dicho<\/a> en un an\u00e1lisis publicado esta semana.<\/p>\n M\u00e1s del 80% de los objetivos estaban ubicados en Rusia. Se ha informado de un n\u00famero menor de v\u00edctimas en Bielorrusia, Canad\u00e1, Moldavia, Israel, Kirguist\u00e1n, Turqu\u00eda y Vietnam.<\/p>\n Cloud Atlas, tambi\u00e9n conocido como Clean Ursa, Inception, Oxygen y Red October, es un grupo de actividad de amenazas no atribuido que ha estado activo desde 2014. En diciembre de 2022, el grupo estuvo vinculado a ataques cibern\u00e9ticos dirigidos a Rusia, Bielorrusia y Transnistria que implement\u00f3 una puerta trasera basada en PowerShell llamada PowerShower.<\/p>\n Luego, exactamente un a\u00f1o despu\u00e9s, la empresa rusa de ciberseguridad FACCT revel\u00f3 que varias entidades del pa\u00eds fueron objeto de ataques de phishing que explotaban una antigua falla del editor de ecuaciones de Microsoft Office (CVE-2017-11882<\/a>) para soltar una carga \u00fatil de Visual Basic Script (VBS) responsable de descargar un malware VBS de siguiente etapa desconocido.<\/p>\n El \u00faltimo informe de Kaspersky revela que estos componentes son parte de lo que llama VBShower, que luego se utiliza para descargar e instalar PowerShower y VBCloud.<\/p>\n El punto de partida de la cadena de ataque es un correo electr\u00f3nico de phishing que contiene un documento de Microsoft Office con trampa explosiva que, cuando se abre, descarga una plantilla maliciosa formateada como un archivo RTF desde un servidor remoto. Luego abusa CVE-2018-0802<\/a>otra falla en el Editor de ecuaciones, para buscar y ejecutar un archivo de aplicaci\u00f3n HTML (HTA) alojado en el mismo servidor.<\/p>\n “El exploit descarga el archivo HTA a trav\u00e9s de la plantilla RTF y lo ejecuta”, dijo Kupreev. “Aprovecha la funci\u00f3n de flujos de datos alternativos (NTFS ADS) para extraer y crear varios archivos en %APPDATA%RoamingMicrosoftWindows. Estos archivos constituyen la puerta trasera VBShower”.<\/p>\n Esto incluye un iniciador, que act\u00faa como un cargador extrayendo y ejecutando el m\u00f3dulo de puerta trasera en la memoria. El otro VB Script es un limpiador que se preocupa por borrar el contenido de todos los archivos dentro de la carpeta “LocalMicrosoftWindowsTemporary Internet FilesContent.Word”, adem\u00e1s de los que est\u00e1n dentro de s\u00ed mismo y del iniciador, cubriendo as\u00ed evidencia de la actividad maliciosa.<\/p>\n La puerta trasera VBShower est\u00e1 dise\u00f1ada para recuperar m\u00e1s cargas \u00fatiles de VBS del servidor de comando y control (C2) que viene con capacidades para reiniciar el sistema; recopilar informaci\u00f3n sobre archivos en varias carpetas, nombres de procesos en ejecuci\u00f3n y tareas del programador; e instale PowerShower y VBCloud.<\/p>\n PowerShower es an\u00e1logo a VBShower en funcionalidad, la principal diferencia es que descarga y ejecuta scripts de PowerShell de la siguiente etapa desde el servidor C2. Tambi\u00e9n est\u00e1 equipado para servir como descargador de archivos ZIP.<\/p>\n Kaspersky ha observado hasta siete cargas \u00fatiles de PowerShell. Cada uno de ellos lleva a cabo una tarea distinta de la siguiente manera:<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/Cloud-Atlas-implementa-malware-VBCloud-mas-del-80-de.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n