Usan archivos de PowerPoint para la entrega de malware 'mouseover'

Los piratas informáticos que se cree que trabajan para Rusia han comenzado a utilizar una nueva técnica de ejecución de código que se basa en el movimiento del mouse en las presentaciones de Microsoft PowerPoint para activar un script malicioso de PowerShell.

No se necesita una macro maliciosa para que el código malicioso se ejecute y descargue la carga útil, para un ataque más insidioso.

Un informe de la compañía de inteligencia de amenazas Cluster25 dice que APT28 (también conocido como 'Fancy Bear'), un grupo de amenazas atribuido a la GRU rusa  (Dirección Principal de Inteligencia del Estado Mayor Ruso), ha utilizado la nueva técnica para entregar el malware Graphite tan recientemente como 9 de septiembre.

El actor de amenazas atrae a los objetivos con un archivo de PowerPoint (.PPT) supuestamente vinculado a la Organización para la Cooperación y el Desarrollo Económicos (OCDE), una organización intergubernamental que trabaja para estimular el progreso económico y el comercio en todo el mundo.

Dentro del archivo PPT hay dos diapositivas, ambas con instrucciones en inglés y francés para usar la opción de interpretación en la aplicación de videoconferencia Zoom.


El archivo PPT contiene un hipervínculo que actúa como desencadenante para iniciar un script malicioso de PowerShell mediante la utilidad S yncAppvPublishingServer  . Esta técnica está documentada desde junio de 2017 . Varios investigadores explicaron en su momento cómo funciona la infección sin una macro maliciosa anidada dentro de un documento de Office ( 1 , 2 , 3 ,  4 ).

Según los metadatos encontrados, Cluster25 dice que los hackers han estado preparando la campaña entre enero y febrero, aunque las URL utilizadas en los ataques aparecieron activas en agosto y septiembre.


Los investigadores dicen que el actor de amenazas apunta a entidades en los sectores de defensa y gobierno de países de la Unión Europea y Europa del Este y creen que la campaña de espionaje continúa.

Cadena de infección

Al abrir el documento del señuelo en modo de presentación y la víctima pasa el mouse sobre un hipervínculo, se activa un script malicioso de PowerShell para descargar un archivo JPEG ("DSC0002.jpeg") desde una cuenta de Microsoft OneDrive.

El JPEG es un archivo DLL cifrado ( lmapi2.dll ), que se descifra y se coloca en el directorio 'C:\ProgramData\', luego se ejecuta a través de rundll32.exe . También se crea una clave de registro para la persistencia de la DLL.


A continuación, lmapi2.dll obtiene y descifra un segundo archivo JPEG y lo carga en la memoria, en un nuevo subproceso creado previamente por la DLL.

Cluster25 detalla que cada una de las cadenas en el archivo recién obtenido requiere una clave XOR diferente para la desofuscación. La carga útil resultante es el malware Graphite en forma de ejecutable portátil (PE).

Graphite abusa de Microsoft Graph API y OneDrive para comunicarse con el servidor de comando y control (C2). El actor de amenazas accede al servicio utilizando una ID de cliente fija para obtener un token OAuth2 válido.


Con el nuevo token OAuth2, Graphite consulta las Microsoft GraphAPI en busca de nuevos comandos al enumerar los archivos secundarios en el subdirectorio de comprobación de OneDrive, explican los investigadores.

"Si se encuentra un archivo nuevo, el contenido se descarga y se descifra a través de un algoritmo de descifrado AES-256-CBC", dice Cluster25, y agrega que "el malware permite la ejecución remota de comandos al asignar una nueva región de memoria y ejecutar el shellcode recibido por llamando a un nuevo hilo dedicado."

El propósito del malware Graphite es permitir que el atacante cargue otro malware en la memoria del sistema. Fue documentado en enero por investigadores de Trellix, una  fusión  de McAfee Enterprise y FireEye, quienes lo nombraron así específicamente porque aprovecha la API de Microsoft Graph para usar OneDrive como C2.

La campaña que investigó Trellix usó documentos de Excel titulados "parliament_rew.xlsx" y "Missions Budget.xlsx" que parecían estar dirigidos a empleados gubernamentales e individuos en la industria de defensa.

Según las similitudes del código con muestras de malware de 2018, la orientación y la infraestructura utilizada en los ataques, Trellix ha atribuido Graphite a APT28 con una confianza de baja a moderada.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta