ESET alerta de Gamaredon, un grupo que aprovecha Outlook y macros de Office para atacar a sus víctimas

16 junio, 2020
359 Visualizaciones

El laboratorio de ESET  ha descubierto nuevas herramientas de ataque utilizadas por el grupo Gamaredon –un grupo activo al menos desde 2013– en sus últimas campañas.

Una de las herramientas descubiertas va dirigida contra Microsoft Outlook y utiliza un proyecto Visual Basic para aplicaciones (VBA) personalizado. Este malware permite al atacante utilizar la cuenta de correo de la víctima para enviar correos fraudulentos dirigidos a contactos de la agenda. La otra herramienta descubierta por ESET se utiliza para inyectar macros y referencias en plantillas remotas de documentos de Office (tanto Word como Excel). El uso de macros de Outlook para distribuir malware es algo muy poco común en la actualidad. ESET detecta las diferentes variantes de malware usadas en estas campañas por Gamaredon como MSIL/Pterodo, Win32/Pterodo o Win64/Pterodo.

En los últimos meses ha habido un incremento en la actividad de este grupo, con oleadas constantes de correos maliciosos que llegaban a los buzones de las víctimas. Los documentos adjuntos a estos mails incluyen macros maliciosas que, cuando se ejecutan, intentan descargar una gran variedad de tipos diferentes de malware”, alerta Jean-Ian Boutin, responsable de investigaciones de amenazas en ESET.

Las últimas herramientas de Gamaredon inyectan macros o referencias a plantillas remotas en los documentos existentes en el sistema atacado, una forma muy efectiva de introducirse en la red de una organización, ya que los documentos suelen ser compartidos de forma rutinaria por diferentes compañeros de trabajo. Además, gracias a una función especial que falsifica la configuración de seguridad de las macros de Microsoft Office, el usuario afectado no sabe que está comprometiendo su dispositivo cada vez que abre los documentos.

El grupo usa puertas traseras y el robo de archivos para identificar y recopilar documentos sensibles del sistema comprometido, y los carga luego en un servidor de mando y control. Además, estos ladrones de archivos tienen la capacidad de ejecutar código de forma arbitraria desde el servidor de mando y control.

Una de las diferencias más importantes entre este y otros grupos APT es que los atacantes de Gamaredon no han hecho grandes esfuerzos para permanecer ocultos. A pesar de que sus herramientas cuentan con la capacidad de utilizar técnicas para pasar desapercibidos, parece que uno de los objetivos del grupo es distribuir su malware de la forma más rápida y extensa posible para extraer datos de las redes atacadas.

Aunque atacar una cuenta de correo y enviar mensajes maliciosos sin consentimiento de la víctima no es una técnica novedosa, creemos que es el primer caso documentado públicamente de un grupo que utiliza archivos OTM y macros de Outlook para conseguirlo”, explica Boutin. “Hemos conseguido recoger muchas muestras diferentes de scripts maliciosos, ejecutables y documentos utilizados por el grupo Gamaredon en sus diferentes campañas”.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Abierto el plazo de inscripción de las XII Jornadas CCN-CERT
Actualidad
26 compartido1,542 visualizaciones
Actualidad
26 compartido1,542 visualizaciones

Abierto el plazo de inscripción de las XII Jornadas CCN-CERT

Vicente Ramírez - 15 noviembre, 2018

El evento tendrá lugar los días 12 y 13 de diciembre, en Madrid. "Ciberseguridad, hacia una respuesta y disuasión efectiva”,…

Raspberry Pi para resolver el rompecabezas del cifrado con los satélites
Soluciones Seguridad
19 compartido2,440 visualizaciones
Soluciones Seguridad
19 compartido2,440 visualizaciones

Raspberry Pi para resolver el rompecabezas del cifrado con los satélites

Samuel Rodríguez - 28 agosto, 2019

¿Cómo se comunica la Agencia Espacial Europea (ESA) de forma segura con los satélites y las misiones espaciales? Sorprendentemente, hasta…

El 72% de los españoles se muestra preocupado por la seguridad en el móvil
Actualidad
8 compartido1,256 visualizaciones
Actualidad
8 compartido1,256 visualizaciones

El 72% de los españoles se muestra preocupado por la seguridad en el móvil

Vicente Ramírez - 22 julio, 2019

Las mayores preocupaciones para los españoles son las relativas a la privacidad de sus datos, las claves y contraseñas, según…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.