Portada » Home » Actores maliciosos utilizan archivos de PowerPoint para distribuir el malware Grafito

Actores maliciosos utilizan archivos de PowerPoint para distribuir el malware Grafito

Actores maliciosos están utilizando una técnica de ejecución de código novedosa que utiliza los movimientos del mouse en las presentaciones de Microsoft PowerPoint para activar scripts de PowerShell.

Un informe de Cluster25 afirma que APT28, también conocido como FancyBear, un grupo de amenazas vinculado a la GRU rusa, ha utilizado una nueva técnica para distribuir el malware Grafito este mes. Los investigadores señalan que los objetivos incluyen entidades en los sectores de defensa y gobierno en la UE y Europa del Este.

El actor de amenazas atrae a las víctimas con un archivo de PowerPoint supuestamente asociado con la Organización para la Cooperación y el Desarrollo Económicos (OCDE). El archivo incluye dos diapositivas con instrucciones en inglés y francés para acceder a la función de traducción en Zoom.
El PPT incorpora un hipervínculo que sirve como disparador para implementar un script malicioso de PowerShell.

El script de PowerShell descarga una imagen JPEG que contiene un archivo DLL cifrado. La carga útil resultante es el malware Graphite en formato Portable Executable (PE), que permite al atacante cargar otro malware en la memoria del sistema.

El JPEG es un archivo DLL cifrado que se descifra, se coloca en la memoria del sistema y se ejecuta a través de rundll32.exe. El hilo continúa y cada nuevo archivo requiere una clave XOR diferente para la desofuscación.

Grafito abusa de la API de Microsoft Graph y OneDrive para comunicarse con el servidor C2. El actor de amenazas usa una ID de cliente fija para obtener un token OAuth2 válido.

El token le permite al malware buscar en Microsoft GraphAPI e identificar nuevos archivos. Si se encuentra, el contenido se descarga y se descifra a través de un algoritmo. El malware permite el ataque RCE asignando una nueva región de memoria y ejecutando el shellcode recibido llamando a un nuevo hilo dedicado.

Los analistas de Cluster25 afirman que los hackers han estado planeando la campaña desde enero o febrero. Sin embargo, las URL utilizadas en los ataques estuvieron activas en agosto y septiembre. Dado que los piratas informáticos intentan llevar a cabo operaciones más sigilosas, las entidades gubernamentales y privadas deben emplear las soluciones adecuadas para evitar infracciones y protegerse.