Llegamos a ustedes gracias a:



Alertas de Seguridad

El grupo Gamaredon apunta a Microsoft Outlook y Office

Según informan los investigadores de ESET

[14/06/2020] Los investigadores de ESET han descubierto nuevas herramientas utilizadas por el grupo Gamaredon en sus últimas campañas maliciosas. La primera herramienta se dirige a Microsoft Outlook utilizando un proyecto personalizado de Microsoft Outlook Visual Basic for Applications (VBA), y permite a los atacantes utilizar la cuenta de correo electrónico de la víctima para enviar correos electrónicos de spearphishing a los contactos de la libreta de direcciones. El uso de macros de Outlook para entregar malware es algo que raramente ven los investigadores. La segunda herramienta es utilizada por el notorio grupo APT para inyectar macros y referencias a plantillas remotas en documentos de Office -Word y Excel. Ambas están diseñadas para ayudar al grupo Gamaredon a extenderse más en las redes ya comprometidas.

"En los últimos meses, ha habido un aumento de la actividad de este grupo, con constantes olas de correos electrónicos maliciosos que llegan a los buzones de sus objetivos. Los archivos adjuntos de estos correos electrónicos son documentos con macros maliciosas que, al ser ejecutados, intentan descargar una multitud de diferentes tipos de malware", comentó Jean-Ian Boutin, jefe de Investigación de Amenazas de ESET.

El ejecutivo anotó que las últimas herramientas inyectan macros maliciosos o referencias a plantillas remotas en los documentos existentes en el sistema atacado, lo cual es una forma muy eficiente de moverse dentro de la red de una organización, ya que los documentos se comparten rutinariamente entre colegas. "Además, gracias a una funcionalidad especial que controla la configuración de seguridad de las macros de Microsoft Office, los usuarios afectados no tienen ni idea de que vuelven a comprometer sus estaciones de trabajo cada vez que abren los documentos, indicó.

Boutin explicó que el grupo utiliza backdoors y lo que se conoce como file stealers para identificar y recopilar documentos sensibles en un sistema comprometido, para ser subidos al servidor de C&C. Además, estos ladrones de archivos tienen la capacidad de ejecutar código arbitrario desde el servidor C&C.

"Hay una distinción importante entre Gamaredon y otros grupos APT: los atacantes hacen poco o ningún esfuerzo para mantenerse bajo el radar. Aunque sus herramientas tienen la capacidad de utilizar técnicas más sigilosas, parece que el principal objetivo de este grupo es extenderse lo más lejos y rápido posible en la red de su objetivo mientras intentan exfiltrar datos, indicó el ejecutivo.

Típica cadena de compromiso en una campaña de Gamaredon.

El grupo Gamaredon ha estado activo desde al menos 2013. Ha sido responsable de varios ataques, principalmente contra instituciones ucranianas.