Madrid, España, 13 de octubre de 2022. Investigadores descubrieron un nuevo ataque consistente en la descarga de software malicioso a través de documentos de Microsoft PowerPoint falsificados, en el momento en que se abren como una presentación y se desplaza el ratón sobre ellos, dirigido principalmente a empresas.
Un equipo de profesionales de la compañía de ciberseguridad Cluster25 encontraron esta nueva técnica implementada por el grupo de ciberdelincuentes APT28 (también conocido como Fancy Bear y TSAR Team), que han distribuido un malware denominado Graphite.
Este grupo de amenaza, atribuido a la Dirección Principal de Inteligencia del Estado Mayor ruso por una acusación del Departamento de Justicia de Estados Unidos en 2018, utiliza documentos fraudulentos de Microsoft PowerPoint para distribuir archivos maliciosos.
Para introducir este malware en los dispositivos, explota una técnica de ejecución de código, que está diseñada para activarse cuando el usuario activa el modo de presentación del documento y mueve el ratón.
Entonces, el software malicioso ejecuta una secuencia de comandos de la herramienta PowerShell, que descarga y activa un dropper desde la solución de almacenamiento de Microsoft OneDrive. Este troyano, que tiene un aspecto de imagen aparentemente inofensivo, funciona como medio para incorporar un fichero o payload persistente.
Este malware es una variante de Graphite, que usa Microsoft Graph API y OneDrive para sus comunicaciones de comando y control (C&C) para obtener información.
Este ataque se habría registrado principalmente en empresas, ya que los documentos de señuelo utilizados por los ciberatacantes presentaban una plantilla vinculada a la Organización para la Cooperación y el Desarrollo Económico (OCDE). Además, según Cluster25, se han hallado indicios de que seguía en activo en los registros del actual y último trimestre de 2023.
Seis medidas de prevención
Para prevenir este nuevo método, Nunsys ha creado un listado de medidas de prevención que pueden ayudar a garantizar la seguridad de las organizaciones.
En primer lugar, desde la compañía proponen conntar con las denominadas herramientas EDR, esto es, de detección y respuesta del ‘endpoint’, es decir, del dispositivo informático empleado. Con ellas se puede monitorizar el tráfico entre dispositivos y red y proteger equipo.
Por otra parte, conviene prohibir el uso de macros en documentos ofimáticos que provengan de fuentes sospechosas y deshabilitar la interfaz de línea de comandos (PowerShell) en perfiles de usuario que no lo necesiten.
Además, es importante contar con herramientas de gestión y despliegue centralizado de parches de seguridad de los sistemas operativos, verificando también en la web de los fabricantes que se está haciendo uso de la última versión de software.
Las copias de seguridad del sistema también son un recurso importante para prevenir que los usuarios maliciosos puedan manipular o eliminar las copias de seguridad.
Finalmente, es necesario desplegar sistemas de seguridad perimetral, como cortafuegos, asi como permanecer informado de las noticias sobre ciberseguridad vinculadas a nuevas vulnerabilidades y mecanismos de ataque.
Texto: Portaltic/EP
