Mucho cuidado, hackers envían malware a través de PowerPoint

¡Este nuevo malware hace uso de archivos PowerPoint para su propagación!

Malware Graphite
Malware Graphite

Se alza una nueva amenaza cibernética y el método para hacerlo llegar a las computadoras es tan sencillo que no lo vas a creer. Puede que Rusia tenga a su disposición hackers que han comenzado hacer uso de una nueva técnica que consiste en ejecutar un código mediante el movimiento del mouse en archivos de Microsoft PowerPoint que activa un comando indeseado de PowerShell.

Ahora pueden realizar un ataque más grande sin necesidad de una macro malintencionada para ejecutar el código y descargar la carga que se va a usar. Te mostraremos en qué consiste y cómo se ha puesto en práctica este amenazador proceso.

Malware Graphite
Malware Graphite

¿Sabes que es un Malware?

Es un concepto que puede aplicarse a muchas áreas, pero en concreto es cualquier código malintencionado que pueda dañar un sistema informático. Un malware puede ser invasivo e intencionalmente intentar invadir, dañar o deshabilitar computadoras, sistemas informáticos, redes, entre otros dispositivos y sistemas tecnológicos. Tomando un control parcial sobre el funcionamiento del dispositivo, puede tener el efecto de un virus, interrumpiendo el normal funcionamiento.

En concreto el propósito de este malware es poder extorsionar de forma ilegal a los usuarios. Aunque el malware no afecta el hardware del sistema o los dispositivos de red. Esta puede robar, cifrar o eliminar datos, alterar o secuestrar las funciones básicas de la computadora y monitorear la actividad de su computadora sin su permiso.

Dispositivos Infectados

Realizar este tipo de ataques cibernéticos tiene un proceso que aunque sencillo tiene que cumplir un proceso para ser realizado y lograr su cometido malicioso. Unos investigadores de Clouster 25 llegaron a la conclusión de que el ciber ataque estuvo siendo planificado  entre el mes de Enero y Febrero. Sin embargo los enlaces que fueron utilizados para el ataque no fueron hallados activos sino hasta Agosto y Septiembre. Además también descubrieron que el ataque está dirigido a organizaciones de defensa y gobiernos de la Unión Europea y Europa del Este.

El ataque del malware Graphite consiste en el siguiente proceso:

  • Al abrir el documento contaminado en modo presentación y la persona coloca el mouse encima de un hipervínculo. Hace que se activa un script PowerShell malintencionado para descargar un archivo JPEG de una cuenta de Microsoft OneDrive.
  • El archivo JPEG es un DLL encriptado, que se descifra y se deja caer en el directorio, ejecutándose posteriormente a través de rundll32.exe. También se crea una clave de registro para la persistencia de la DLL.
  • Enseguida el encriptado, recupera y descifra un segundo archivo JPEG y lo carga en la memoria, en un nuevo hilo creado previamente por la DLL.
  • Los investigadores de Cluster25 detallan que cada una de las cadenas del nuevo archivo obtenido requiere una clave XOR diferente para realizar el cometido. La carga útil resultante es el malware Graphite en forma de ejecutable portátil.
  • El sorfware malintencionado Graphite abusa de la API de Microsoft Graph y de OneDrive para comunicarse con el servidor de comando y control. El hacker, autor de la amenaza accede al servicio utilizando un ID de cliente fijo para obtener un token OAuth2 válido.
  • Una vez que tiene el nuevo token OAuth2, Graphite consulta las GraphAPI de Microsoft en busca de nuevos comandos enumerando los archivos de origen en el subdirectorio de OneDrive de verificación.

¿Por qué hacer un Ciber Ataque?

Sabemos que los gobiernos y más aun unos tan importantes como los de Europa, poseen archivos que muchos quisieran tener. Pero de ahí a dañar los sistemas y dispositivos de organizaciones de defensa y gobiernos para robar información, tienes que tener razones obscuras. Es por eso que investigadores importantes están detrás de estos hackers y sus ciber ataques.

Ya que el propósito del malware Graphite es permitir al atacante cargar otro malware en la memoria del sistema. Esto ya había sucedido y fue documentado en enero por los investigadores de Trellix, que lo designaron así específicamente porque aprovecha la API de Microsoft Graph para hacer uso de OneDrive como un servidor de comando y control.