Investigadores de seguridad cibernética de HP Wolf Security han descubierto una nueva cepa de malware que se distribuye a través de archivos de Microsoft Word armados.
El malware, denominado SVCReady, permite a los actores de amenazas filtrar información del sistema, como el firmware del dispositivo y el software instalado en el punto final, dice el informe.
Se está implementando al unÃsono con otro virus, una cepa relativamente popular llamada RedLine Stealer. Este se usa para robar cosas como contraseñas, datos de pago almacenados, historial de navegación y similares.
El actor de amenazas despliega el malware a través de documentos de Microsoft Word armados, mediante el uso de shellcode almacenado dentro de las propiedades del documento.
Malware que ataca documentos de Microsoft Word: 'Trabajo en progreso'
Esta es una desviación de una práctica más estándar en la que los actores de amenazas generalmente usan PowerShell o MSHTA.
Si bien la cepa aún está en su infancia, y claramente es un trabajo en progreso, tiene un gran potencial de convertirse en algo más que una molestia, dijeron los investigadores.
El malware para documentos de Microsoft no es tan potente como puede ser. Aún asÃ, con los actores de amenazas trabajando arduamente, no hay lugar para la autocomplacencia, argumenta Patrick Schläpfer, analista de malware de HP Wolf Security.
“Algunas cosas en el malware están rotas”, dice Schläpfer. "SVCReady está claramente en desarrollo, y los actores maliciosos han estado agregando cifrado al formato de comunicación de la red en las últimas semanas".
"A medida que se refina el malware, existe la posibilidad de que se convierta en un problema mayor en el futuro. Hemos visto algunas similitudes en las convenciones de nombres de archivos y las imágenes de señuelos que parecen estar vinculadas a las utilizadas por el grupo de amenazas con motivación financiera TA551".
Lo último que supimos de TA551, el grupo estaba secuestrando hilos de correo electrónico para distribuir cargadores de malware.
Los expertos en seguridad cibernética de Intezer descubrieron que el grupo abusaba de vulnerabilidades conocidas en servidores de Microsoft Exchange comprometidos y sin parches para robar credenciales de inicio de sesión, acceder a las bandejas de entrada de las personas y responder largas cadenas de correo electrónico con enlaces a IcedID, un troyano bancario modular.
En las noticias seguiremos las noticias más recientes de Microsoft como que una falla de dÃa 0 explotada activamente aún no tiene un parche.
SÃguenos en Facebook y entérate de las noticias trend de la semana
No hay comentarios.:
Publicar un comentario