Atacantes han vuelto a utilizar esta técnica MouseOver de PowerPoint descubierta en 2017 para descargar el malware Graphite en el equipo de las víctimas.
Esta técnica se basa en el movimiento del ratón sobre una diapositiva para la ejecución de un script malicioso de Powershell.
Lo alarmante de esta técnica, además de ejecutarse solo pasando el ratón por encima, es que no necesita utilizar macros para ejecutarse y descargar el malware.
Cómo comienza el ataque
Los atacantes «atraen» a las víctimas con un archivo de PowerPoint supuestamente vinculado a la Organización para la Cooperación y el Desarrollo Económico (OCDE), una organización intergubernamental.
Basándose en la técnica MouseOver de PowerPoint el archivo contiene 2 diapositivas con instrucciones para poder modificar el idioma utilizando la opción de interpretación en la aplicación de Zoom.
Fuente: Cluster25
El archivo de PowerPoint contiene un hipervínculo que ejecutaría el script malicioso de Powershell mediante la utilidad SyncAppvPublishingServer y como indicábamos al comienzo del texto, esta técnica se descubrió en 2017 (Prueba de concepto por blog.elhacker.net).
Pasos del ataque
Ejecución del script Powershell
Una vez que el archivo se encuentre abierto y al pasar el ratón por encima del hipervínculo se activa el script malicioso de Powershell, descargando una imagen desde una cuenta de OneDrive.
Creación de DLL maliciosa
La imagen es realmente una DLL cifrada (lmapi2.dll) que al descifrarse se coloca en el directorio ‘C:\ProgramData\’ y posteriormente se ejecuta mediante rundll32.exe. Además de esto crea una DLL persistente.
A continuación, la DLL descifra una segunda imagen y la carga en memoria.
Fuente: Cluster25
Descifrado del malware Graphite
Desde Cluster25 (los cuales analizaron el ataque) indican que las cadenas de archivo requieren claves XOR diferentes para su desofuscación. El resultado de esto se resuelve en obtener el malware Graphite.
Graphite se aprovecha de Microsoft Graph API y OneDrive para realizar la comunicación con el C2 (Command and Control). Para el acceso al servicio, el atacante utiliza un ID fijo para conseguir el token OAuth2.
“Si se encuentra un archivo nuevo, el contenido se descarga y se descifra a través de un algoritmo de descifrado AES-256-CBC”, dice Cluster25, y agrega que “el malware permite la ejecución remota de comandos al asignar una nueva región de memoria y ejecutar el shellcode recibido llamando a un nuevo hilo dedicado.”
Cluster25
Más información:
Deja una respuesta