El malspam busca que la víctima descargue el troyano especializado en robar información ”Formbook”. Los investigadores de MalwareHunterTeam descubrieron una nueva campaña de malspam que se aprovecha del rating del Coronavirus a nivel mundial para enviar malware. La campaña utiliza correos electrónicos que pretenden ser enviados por miembros de la Organización Mundial de la Salud […]
El malspam busca que la víctima descargue el troyano especializado en robar información ”Formbook”.
Los investigadores de MalwareHunterTeam descubrieron una nueva campaña de malspam que se aprovecha del rating del Coronavirus a nivel mundial para enviar malware.
La campaña utiliza correos electrónicos que pretenden ser enviados por miembros de la Organización Mundial de la Salud (OMS).
Los correos electrónicos vienen con un archivo adjunto ZIP y tienen el tema “Actualizaciones de Coronavirus”.
Al principio todo bien. El mail solicita que se lea el mensaje en un navegador ya que ahí se mostrará el contenido correctamente.
EL mensaje como tal tiene actualizaciones sobre el estado del Coronavirus, incluyendo estadísticas sobre la epidemia. Además se puede ver un correo electrónico ”corona-virus@caramail.com”, el cual probablemente se utiliza con fines de phishing.
El mensaje tiene una redacción que busca engañar a las víctimas para que abran el archivo ZIP adjunto que incluye “MY-HEALTH.PDF”.
El ejecutable empleado en esta campaña es una cepa del descargador de malware GuLoader.
Una vez que el malware GuLoader haya descargado un archivo cifrado de https://drive.google.com, lo descifrará e inyectará el malware en el proceso wininit.exe de Windows.
La carga final es el troyano emfocado en el robo de información ”FormBook”, un malware que los investigadores de FireEye descubrieron por primera vez en octubre de 2017.
FormBook se utilizó con fines de espionaje cibernético, y al igual que otros programas espía, es capaz de extraer datos de sesiones HTTP, registro de pulsaciones de teclas y robo de contenido del portapapeles.
FormBook también puede recibir comandos de un servidor de comando y control (C2) para realizar muchas actividades maliciosas, como descargar más cargas de malware.
Según los investigadores, una de las características más interesantes implementadas por los autores de malware permite que el código malicioso lea el “módulo ntdll.dll de Windows del disco a la memoria, y llama a sus funciones exportadas directamente, lo que hace que los mecanismos de enganche en modo de usuario y monitoreo de API sean ineficaces”.
Los investigadores explicaron que FormBook es fácil de usar, se ofrece a la venta en el mundo criminal desde julio de 2017, se ofreció por $29 dólares por semana, hasta un paquete “pro” de paquete completo de $299us. Los clientes podrían pagar por el acceso a la plataforma y generar sus archivos ejecutables como un servicio.
A un mes de parchado, aún hay usuarios que no actualizan su versión de Microsoft Exchange, por lo que los atacantes se aprovecharon y están explotando un bug que podría darles la capacidad de acceder a información de la víctima.