– No es raro que los piratas informáticos aprovechen las funciones de macro integradas en Microsoft Word en Windows como preludio de ataques masivos de malware contra sus víctimas. Un grupo desconocido de piratas informáticos ha infiltrado la macro que han configurado de tal manera en un archivo de Microsoft Word, para luego descargar un script malicioso de PowerShell en GitHub.
El script malicioso de PowerShell, publicado en Github, codifica en secreto el malware Cobalt Strike en los sistemas Windows. Lo siguiente que hace el script es descargar la imagen del sitio de Imgur, por lo que el phishing tiene éxito. Aunque aún se desconocen los actores involucrados, los observadores tienen muchas teorías.
Por ejemplo, algunos dicen que el actor detrás de este truco es alguien con una cuenta de MuddyWater, también conocido como SeedWorm y TEMP.Zagros. MuddyWater hizo su debut en el mundo del malware en 2017 y se dirigió a usuarios de Medio Oriente, Europa y Estados Unidos.
Sus acciones que continúan ocurriendo, supuestamente porque cuenta con el apoyo de ciertos gobiernos, que usan sus habilidades para atacar a los gobiernos de otros países. Como en el primer informe presentado, el ataque esta vez tiene casi el mismo patrón cuando se detectó el primer ataque de MuddyWater.
Un observador con una cuenta de Arkbird fue el primero en descubrir este ataque de malware. Dijo que el malware siguió un flujo de trabajo detallado para poder infiltrarse y plantar programas maliciosos.
Inicialmente, este hacker enviará un archivo de Microsoft Word junto con una macro. Luego, esta macro comienza a funcionar tan pronto como la víctima abre el archivo de Word y luego abre la página de Github donde se almacena el script malicioso de PowerShell. Ese script comenzará a descargar la imagen aparentemente original en Imgur. La imagen es sin duda una distracción, ya que el programa malicioso que hay detrás empieza a tomar medidas para atacar.
La técnica utilizada es la técnica de esteganografía para ocultar códigos maliciosos y otros programas maliciosos, detrás de archivos comunes como archivos de imágenes o documentos PDF. En este caso, se utiliza una atractiva imagen PNG.
Aparentemente, la secuencia de comandos de PowerShell cargada en Github ahora ha sido eliminada por el cargador y ya no es accesible. Por lo tanto, se desconoce cuántas personas descargaron el script y terminaron siendo infectados por el malware.
