Se ha observado una nueva ola de campañas de phishing que propaga un malware previamente documentado llamado SVCReady.
«El malware se destaca por la forma inusual en que se entrega a las PC de destino, utilizando un código de shell oculto en las propiedades de los documentos de Microsoft Office», dijo Patrick Schläpfer, analista de amenazas de HP.
Se cree que SVCReady se encuentra en su etapa inicial de desarrollo, y los autores actualizaron iterativamente el malware varias veces el mes pasado. Los primeros signos de actividad datan del 22 de abril de 2022.
Las cadenas de infección implican el envÃo de archivos adjuntos de documentos de Microsoft Word a los objetivos por correo electrónico, que contienen macros de VBA para activar la implementación de cargas útiles maliciosas.
Pero esta campaña se destaca porque en primer lugar emplea PowerShell o MSHTA para recuperar los ejecutables de la siguiente etapa desde un servidor remoto, la macro ejecuta el código de shell almacenado en las propiedades del documento, que posteriormente elimina el malware SVCReady.
Además de lograr la persistencia en el host infectado por medio de una tarea programada, el malware tiene la capacidad de recopilar información del sistema, capturar pantalla, ejecutar comandos de shell, asà como descargar y ejecutar archivos arbitrarios.
HP dijo que identificó superposiciones entre los nombres de archivo de los documentos de señuelo y las imágenes contenidas en los archivos utilizados para distribuir SVCReady y los empleados por otro grupo llamado TA551 (también conocido como Hive0106 o Shathak), pero no está claro hasta ahora si es el mismo actor de amenazas detrás de la última campaña.
No hay comentarios:
Publicar un comentario