Ciberatacantes están utilizando una antigua vulnerabilidad de Microsoft Office como parte de campañas de phishing para distribuir una cepa de malware llamada Agent Tesla.
Para ello, envían mensajes de temática de facturas que incluyen documentos de Excel engañosos en los que se adjunta un exploit llamado CVE-2017-11882 (calificación CVSS: 7.8), una vulnerabilidad de corrupción de memoria en el Editor de Ecuaciones de Office que podría resultar en la ejecución de código con los privilegios del usuario.
Estos hallazgos se desprenden de Zscaler ThreatLabz, basándose en anteriores informes del laboratorio Fortinet FortiGuard que detallan una campaña de phishing similar que explotó la falla de seguridad para distribuir el malware.
«Una vez que un usuario descarga un archivo adjunto malicioso y lo abre, si su versión de Microsoft Excel es vulnerable, el archivo de Excel inicia una comunicación con un destino malicioso y procede a descargar archivos adicionales sin requerir ninguna otra interacción del usuario», señaló el investigador en seguridad Kaivalya Khursale.
El primer payload es un script de Visual Basic obfuscado que inicia la descarga de un archivo JPG malicioso que cuenta con un archivo DLL codificado en Base64. Esta táctica de evasión esteganográfica también fue detallada por McAfee Labs en septiembre de 2023.
El DLL oculto se inyecta posteriormente en RegAsm.exe, la herramienta de registro de ensamblajes de Windows, para lanzar la carga final. Cabe destacar que también se ha abusado del ejecutable para cargar Quasar RAT en el pasado.
Agent Tesla es un keylogger avanzado y un troyano de acceso remoto (RAT) basado en .NET que está diseñado para recopilar información sensible de los equipos comprometidos. El malware luego se comunica con un servidor remoto para extraer los datos recolectados.
«Los actores de amenazas se adaptan constantemente a los métodos de infección, lo que hace imperativo que las organizaciones se mantengan actualizadas sobre las amenazas cibernéticas en evolución para proteger su panorama digital», advirtió Khursale.
Este hecho se produce a medida que las viejas fallas de seguridad se convierten en nuevos objetivos de ataque para los ciberatacantes. A principios de esta semana, Imperva reveló que una falla de tres años en Oracle WebLogic Server (CVE-2020-14883, calificación CVSS: 7.2) está siendo utilizada por el grupo 8220 Gang para distribuir mineros de criptomonedas.
También coincide con un aumento en la actividad de malware DarkGate después de que comenzara a anunciarse a principios de este año como un servicio de malware (MaaS) y como un reemplazo de QakBot luego de su eliminación en agosto de 2023.
«El sector tecnológico es el más afectado por las campañas de ataque DarkGate», señaló Zscaler citando datos de telemetría de los clientes.
«La mayoría de los dominios de DarkGate tienen entre 50 y 60 días de antigüedad, lo que puede indicar un enfoque deliberado en el que los actores de amenazas crean y rotan dominios en intervalos específicos».
Asimismo, Sophos ha descubierto campañas de phishing que atacan al sector hotelero con mensajes de correo electrónico relacionados con reservas para distribuir malware Stealer de información como RedLine Stealer o Vidar Stealer.
«Los atacantes contactan inicialmente al objetivo por correo electrónico que no contiene más que texto, pero con temas que un negocio orientado al servicio (como un hotel) querría responder rápidamente», indicaron los investigadores Andrew Brandt y Sean Gallagher.
«Solo después de que el objetivo responde al e-mail inicial del actor de amenazas, este último envía un segundo mensaje con un enlace a lo que ellos afirman que son detalles sobre su solicitud o queja».
Además de los Stealer y los troyanos, los ataques de phishing han tomado la forma de mensajes de correo electrónico falsos de «Infracción de derechos de autor de Instagram» para robar los códigos de seguridad de dos factores (2FA) de los usuarios a través de páginas web fraudulentas, con el objetivo de pasar por alto la protección de la cuenta. Un esquema llamado Insta-Phish-A-Gram.
«Los atacantes recuperan los datos de este tipo de ataque de phishing para venderlos en el mercado negro o usarlos para tomar el control de la cuenta», explicó la firma de ciberseguridad.
