Investigadores han descubierto un nuevo ataque consistente en la descarga de software malicioso a través de documentos de Microsoft PowerPoint falsificados, en el momento en que se abren como una presentación y se desplaza el ratón sobre ellos, dirigido principalmente a empresas.
Un equipo de profesionales de la compañía de ciberseguridad Cluster25 han hallado esta nueva técnica implementada por el grupo de ciberdelincuentes APT28 (también conocido como Fancy Bear y TSAR Team), que han distribuido un malware denominado Graphite.
MIRA: Spyware, el ciberataque silencioso que se vende desde US$ 100 en mercados negros
Este grupo de amenaza, atribuido a la Dirección Principal de Inteligencia del Estado Mayor ruso por una acusación del Departamento de Justicia de Estados Unidos en 2018, utiliza documentos fraudulentos de Microsoft PowerPoint para distribuir archivos maliciosos.
Para introducir este malware en los dispositivos, explota una técnica de ejecución de código, que está diseñada para activarse cuando el usuario activa el modo de presentación del documento y mueve el ratón.
MIRA: 10 señales de que tu PC fue infectada con malware y cómo solucionarlo
Entonces, el software malicioso ejecuta una secuencia de comandos de la herramienta PowerShell, que descarga y activa un dropper desde la solución de almacenamiento de Microsoft OneDrive. Este troyano, que tiene un aspecto de imagen aparentemente inofensivo, funciona como medio para incorporar un fichero o payload persistente.
Este malware es una variante de Graphite, que usa Microsoft Graph API y OneDrive para sus comunicaciones de comando y control (C&C) para obtener información.
MIRA: Alerta de malware que se hace pasar por Google Traductor para infectar dispositivos
Este ataque se habría registrado principalmente en empresas, ya que los documentos de señuelo utilizados por los ciberatacantes presentaban una plantilla vinculada a la Organización para la Cooperación y el Desarrollo Económico (OCDE). Además, según Cluster25, se han hallado indicios de que seguía en activo en los registros del actual y último trimestre de 2023.
SEIS MEDIDAS DE PREVENCIÓN
Para prevenir este nuevo método, Nunsys ha creado un listado de medidas de prevención que pueden ayudar a garantizar la seguridad de las organizaciones.
MIRA: Estas 35 apps de Android están robando tus datos ¡Elimínalas ya!
En primer lugar, desde la compañía proponen contar con las denominadas herramientas EDR, esto es, de detección y respuesta del endpoint, es decir, del dispositivo informático empleado. Con ellas se puede monitorizar el tráfico entre dispositivos y red y proteger equipo.
Por otra parte, conviene prohibir el uso de macros en documentos ofimáticos que provengan de fuentes sospechosas y deshabilitar la interfaz de línea de comandos (PowerShell) en perfiles de usuario que no lo necesiten.
MIRA TAMBIÉN: Detectan otras 35 apps en Play Store que podrían haber robado tus datos
Además, es importante contar con herramientas de gestión y despliegue centralizado de parches de seguridad de los sistemas operativos, verificando también en la web de los fabricantes que se está haciendo uso de la última versión de software.
Las copias de seguridad del sistema también son un recurso importante para prevenir que los usuarios maliciosos puedan manipular o eliminar las copias de seguridad.
Finalmente, es necesario desplegar sistemas de seguridad perimetral, como cortafuegos, así como permanecer informado de las noticias sobre ciberseguridad vinculadas a nuevas vulnerabilidades y mecanismos de ataque.
Contenido sugerido
Contenido GEC