La compañía de ciberseguridad Cluster25 hayaron nueva técnica del grupo de ciberdelincuentes APT28 (también conocido como Fancy Bear y TSAR Team), que han distribuido un malware llamado Graphite.
Investigadores han descubierto un nuevo ataque consistente en la descarga de software malicioso a través de documentos de Microsoft PowerPoint falsificados, en el momento en que se abren como una presentación y se desplaza el ratón sobre ellos, dirigido principalmente a empresas.
Un equipo de profesionales de la compañía de ciberseguridad Cluster25 han hayado esta nueva técnica implementada por el grupo de ciberdelincuentes APT28 (también conocido como Fancy Bear y TSAR Team), que han distribuido un malware denominado Graphite.
Este grupo de amenaza, atribuido a la Dirección Principal de Inteligencia del Estado Mayor ruso por una acusación del Departamento de Justicia de Estados Unidos en 2018, utiliza documentos fraudulentos de Microsoft PowerPoint para distribuir archivos maliciosos.
Para introducir este malware en los dispositivos, explota una técnica de ejecución de código, que está diseñada para activarse cuando el usuario activa el modo de presentación del documento y mueve el ratón.
Entonces, el software malicioso ejecuta una secuencia de comandos de la herramienta PowerShell, que descarga y activa un dropper desde la solución de almacenamiento de Microsoft OneDrive. Este troyano, que tiene un aspecto de imagen aparentemente inofensivo, funciona como medio para incorporar un fichero o payload persistente.
Este malware es una variante de Graphite, que usa Microsoft Graph API y OneDrive para sus comunicaciones de comando y control (C&C) para obtener información.
Este ataque se habría registrado principalmente en empresas, ya que los documentos de señuelo utilizados por los ciberatacantes presentaban una plantilla vinculada a la Organización para la Cooperación y el Desarrollo Económico (OCDE). Además, según Cluster25, se han hallado indicios de que seguía en activo en los registros del actual y último trimestre de 2023.
PREVENCIÓN
Para prevenir este nuevo método, Nunsys ha creado un listado de medidas de prevención que pueden ayudar a garantizar la seguridad de las organizaciones.
En primer lugar, desde la compañía proponen conntar con las denominadas herramientas EDR, esto es, de detección y respuesta del ‘endpoint’, es decir, del dispositivo informático empleado. Con ellas se puede monitorizar el tráfico entre dispositivos y red y proteger equipo.
Por otra parte, conviene prohibir el uso de macros en documentos ofimáticos que provengan de fuentes sospechosas y deshabilitar la interfaz de línea de comandos (PowerShell) en perfiles de usuario que no lo necesiten.
Descubre más desde TEKIOS
Suscríbete y recibe las últimas entradas en tu correo electrónico.
