This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Usan archivos de PowerPoint para la entrega de malware 'mouseover'

  • 0 Replies
  • 314 Views

0 Members and 1 Guest are viewing this topic.

Offline Dragora

  • *
  • Moderador Global
  • Posts: 2212
  • Actividad:
    100%
  • Country: gt
  • Reputación 25
  • La resistencia es inútil, serás absorbido.
    • View Profile

Los piratas informáticos que se cree que trabajan para Rusia han comenzado a utilizar una nueva técnica de ejecución de código que se basa en el movimiento del mouse en las presentaciones de Microsoft PowerPoint para activar un script malicioso de PowerShell.

No se necesita una macro maliciosa para que el código malicioso se ejecute y descargue la carga útil, para un ataque más insidioso.

Un informe de la compañía de inteligencia de amenazas Cluster25 dice que APT28 (también conocido como 'Fancy Bear'), un grupo de amenazas atribuido a la GRU rusa  (Dirección Principal de Inteligencia del Estado Mayor Ruso), ha utilizado la nueva técnica para entregar el malware Graphite tan recientemente como 9 de septiembre.

El actor de amenazas atrae a los objetivos con un archivo de PowerPoint (.PPT) supuestamente vinculado a la Organización para la Cooperación y el Desarrollo Económicos (OCDE), una organización intergubernamental que trabaja para estimular el progreso económico y el comercio en todo el mundo.

Dentro del archivo PPT hay dos diapositivas, ambas con instrucciones en inglés y francés para usar la opción de interpretación en la aplicación de videoconferencia Zoom.

Señuelo de documento utilizado en una nueva campaña que usa la
fuente de malware Graphite: Cluster25

El archivo PPT contiene un hipervínculo que actúa como desencadenante para iniciar un script malicioso de PowerShell mediante la utilidad S yncAppvPublishingServer  . Esta técnica está documentada desde junio de 2017 . Varios investigadores explicaron en su momento cómo funciona la infección sin una macro maliciosa anidada dentro de un documento de Office ( 1 , 2 , 3 ,  4 ).

Según los metadatos encontrados, Cluster25 dice que los hackers han estado preparando la campaña entre enero y febrero, aunque las URL utilizadas en los ataques aparecieron activas en agosto y septiembre.


Uso de la técnica de pasar el mouse de PowerPoint para entregar la
fuente de malware Graphite: Cluster25

Los investigadores dicen que el actor de amenazas apunta a entidades en los sectores de defensa y gobierno de países de la Unión Europea y Europa del Este y creen que la campaña de espionaje continúa.

Cadena de infección

Al abrir el documento del señuelo en modo de presentación y la víctima pasa el mouse sobre un hipervínculo, se activa un script malicioso de PowerShell para descargar un archivo JPEG ("DSC0002.jpeg") desde una cuenta de Microsoft OneDrive.

El JPEG es un archivo DLL cifrado ( lmapi2.dll ), que se descifra y se coloca en el directorio 'C:\ProgramData\', luego se ejecuta a través de rundll32.exe . También se crea una clave de registro para la persistencia de la DLL.


Activación de la ejecución de código malicioso (Cluster25)

A continuación, lmapi2.dll obtiene y descifra un segundo archivo JPEG y lo carga en la memoria, en un nuevo subproceso creado previamente por la DLL.

Cluster25 detalla que cada una de las cadenas en el archivo recién obtenido requiere una clave XOR diferente para la desofuscación. La carga útil resultante es el malware Graphite en forma de ejecutable portátil (PE).

Graphite abusa de Microsoft Graph API y OneDrive para comunicarse con el servidor de comando y control (C2). El actor de amenazas accede al servicio utilizando una ID de cliente fija para obtener un token OAuth2 válido.


ID de cliente fijo utilizado por Graphite (Cluster25)

Con el nuevo token OAuth2, Graphite consulta las Microsoft GraphAPI en busca de nuevos comandos al enumerar los archivos secundarios en el subdirectorio de comprobación de OneDrive, explican los investigadores.

“Si se encuentra un archivo nuevo, el contenido se descarga y se descifra a través de un algoritmo de descifrado AES-256-CBC”, dice Cluster25, y agrega que “el malware permite la ejecución remota de comandos al asignar una nueva región de memoria y ejecutar el shellcode recibido por llamando a un nuevo hilo dedicado.”

El propósito del malware Graphite es permitir que el atacante cargue otro malware en la memoria del sistema. Fue documentado en enero por investigadores de Trellix, una  fusión  de McAfee Enterprise y FireEye, quienes lo nombraron así específicamente porque aprovecha la API de Microsoft Graph para usar OneDrive como C2.

La campaña que investigó Trellix usó documentos de Excel titulados "parliament_rew.xlsx" y "Missions Budget.xlsx" que parecían estar dirigidos a empleados gubernamentales e individuos en la industria de defensa.

Según las similitudes del código con muestras de malware de 2018, la orientación y la infraestructura utilizada en los ataques, Trellix ha atribuido Graphite a APT28 con una confianza de baja a moderada.

Fuente: You are not allowed to view links. Register or Login
« Last Edit: September 26, 2022, 07:32:13 pm by Dragora »